Sicherheitsforscher von Google warnen aktuell davor, dass Angreifer eine als kritisch eingestufte Sicherheitslücke in Windows aktiv ausnutzen. Laut eigenen Angaben wurde Microsoft vor einer Woche darüber unterrichtet, allerdings ist bisher noch kein Sicherheitspatch von Microsoft erschienen.

Sicherheitsforscher halten sich normalerweise an einen Kodex und legen Sicherheitslücken verantwortungsvoll offen (responsible disclosure). Dazu tauschen sie vorab mit den Betroffenen Informationen aus und veröffentlichen, wenn ein Update bereit steht, die Details zu einer Lücke. Dies kann bis zu 60 Tage dauern.

Google beruft sich in diesem Fall auf seine eigene Richtlinie für kritische Schwachstellen ohne Sicherheitspatches, die aktiv ausgenutzt werden. Da diese Lücken schnelles Handeln erfordern, räumt Google den betroffenen einen Zeitraum von einer Woche ein, um diese sogenannten Zero-Day-Lücken zu schließen. Adobe wurde auch über eine kritische Schwachstelle in Flash unterrichtetet. In der vergangenen Woche erschien das entsprechende Notfall-Update.

Über diese Lücke sollen sich die Angreifer in Windows lokal höhere Rechte erschleichen können, um so aus der Sandbox eines Webbrowsers ausbrechen zu können. Ein bestimmter Systemaufruf über win32k.sys soll Ausgangspunkt dabei sein. Nicht anfällig soll dabei Google Chrome sein.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE