IT-Sicherheitsforscher haben eine ernste, über das Internet ausnutzbare Sicherheitslücke im Betriebssystem Windows entdeckt.
IT-Sicherheitsforscher haben eine schwere Sicherheitslücke im Betriebssystem Windows entdeckt. Diese findet sich in Standard-Installationen des Betriebssystems und lässt sich per Schadsoftware ausnutzen.
Lücke in Windows 7 automatisiert nutzbar
Die beiden IT-Sicherheitsforscher Tavis Ormandy und Natalie Silvanovic, Mitglieder von Googles „Project Zero„, haben nach eigenen Angaben eine der ernstesten Windows-Sicherheitslücken der letzten Jahre entdeckt. Über die Schwachstelle lässt sich Code ausführen und sie ist auch über das Netzwerk angreifbar. Zudem, so Ormandy, eignet sie sich auch für die Ausnutzung durch automatisierte Schadsoftware, etwa in Form eines Computer-Wurms. Ormandy bezeichnete die Lücke in einem Tweet als „crazy bad“, also etwa „unglaublich schlimm“.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. ????????????
— Tavis Ormandy (@taviso) May 6, 2017
Rätselraten um Details
Welche Komponente des Betriebssystems die Schwachstelle aufweist, teilten die Sicherheitsforscher bislang nicht mit. Allerdings lässt sich schlussfolgern, dass es sich um eine Komponente handeln muss, die standardmäßig mit dem Betriebssystem installiert wird. In Fachkreisen wurden etwa .NET, die Krypto-Bibliothek SChannel und sogar die Windows-Firewall als mögliche Kandidaten genannt. Ormandy bestätigte keine der Theorien, erklärte aber, dass es sich bei der betroffenen Software nicht um .NET handle.
Sicherheitsexpertinnen und -Experten ebenso wie besorgte Nutzer mag diese Vorgehensweise frustrieren. Sie ist jedoch äußerst sinnvoll. Einzelheiten werden der Öffentlichkeit wohl erst bekannt gegeben, wenn die Verantwortlichen – in diesem Fall Microsoft – Zeit zum Beheben der Lücke bei Windows hatten. Das gehört zur sogenannten“Responsible Disclosure„. Traditionell räumt man Software-Unternehmen 90 Tage zum Beheben gefundener Sicherheitslücken ein. Das war hier nicht der Fall.
Tarnkappe.info