Auf dem Entwicklerportal Github stellt Tivadar seine Erkenntnisse zur Verfügung. Betroffen sind alle Windows-Betriebssysteme von Windows 7 Enterprise Service Pack 1 bis Windows 10 1803. Nur Windows XP bleibt davon verschont.

Microsoft will den Fehler vorerst nicht adressieren, da dieser keine CVE-Nummer und daher keinen Patch erhalten kann, weil die Voraussetzungen nicht erfüllt werden. "Die Ausnutzung des Fehlers erfordert nämlich entweder physischen Zugriff auf ein System oder Social Engineering", sagt Microsoft in einem E-Mail-Dialog mit Tivadar.

Tivadar hatte den Bug bereits im Juli 2017 entdeckt und bezeichnet diese Art von Angriff per USB-Stick trotzdem als Denial-of-Service-Attacke. "Einen Speicherstick in einen Computer einzustecken, während dieser sich in einem gesperrten Zustand befindet, aktiviert eine ganze Reihe von OS-Code. Das könnte gefährlich werden, wenn das Dateisystem von Hand so manipuliert wurde, dass es das Betriebssystem ausnutzt", sagt er.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE