Google warnt vor Zero-Day-Lücke in Windows 7
Angreifer nutzten eine Kombination aus Lücken in Chrome und Windows 7, um Rechner mit Spionage-Software zu infizieren. Nur eine von beiden ist geschlossen.
Googles Sicherheitsexperten entdeckten gezielte Angriffe, bei denen eine Kombination aus zwei bisher unbekannten Lücken eingesetzt wurde: Eine öffentlich bekannte im Chrome-Browser, die der Hersteller mit einem Update am 1. März geschlossen hat. Und eine zweite in Windows 7, für die es immer noch kein Update gibt, wie Google eine Woche später konstatiert.
Google hatte Microsoft nach eigenen Angaben sofort nach der Entdeckung der Angriffe informiert. Der Hersteller arbeite auch bereits an einem Sicherheits-Update. Da diese Lücke jedoch aktuell in gezielten Angriffen ausgenutzt wird, sieht sich Google gemäß seiner Veröffentlichungspolitik zu Sicherheitslücken gezwungen, die Öffentlichkeit über deren Existenz zu informieren.
Mehr Rechte in Windows 7
Es handelt sich bei der Lücke um einen unerlaubten Zugriff auf einen Null-Pointer in einem Windows-Kernel-Treiber, der es ermöglicht, sich lokal erhöhte Rechte im System zu verschaffen. Google glaubt, dass sich dieser Fehler nur in Windows 7 ausnutzen lässt und empfiehlt als Schutzmaßnahme ein Upgrade auf Windows 10.
Die Chrome-Lücke CVE-2019-5786 wurde in Version 72.0.3626.121 geschlossen, das Anwender über die Auto-Update-Funktion bereits erhalten haben sollten. Wann Microsoft das anstehende Sicherheits-Update für Windows 7 liefern will, ist bisher nicht bekannt. (ju)
