Google warnt vor Zero-Day-LĂĽcke in Windows 7

Angreifer nutzten eine Kombination aus LĂĽcken in Chrome und Windows 7, um Rechner mit Spionage-Software zu infizieren. Nur eine von beiden ist geschlossen.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Windows 7
Lesezeit: 1 Min.

Googles Sicherheitsexperten entdeckten gezielte Angriffe, bei denen eine Kombination aus zwei bisher unbekannten Lücken eingesetzt wurde: Eine öffentlich bekannte im Chrome-Browser, die der Hersteller mit einem Update am 1. März geschlossen hat. Und eine zweite in Windows 7, für die es immer noch kein Update gibt, wie Google eine Woche später konstatiert.

Google hatte Microsoft nach eigenen Angaben sofort nach der Entdeckung der Angriffe informiert. Der Hersteller arbeite auch bereits an einem Sicherheits-Update. Da diese Lücke jedoch aktuell in gezielten Angriffen ausgenutzt wird, sieht sich Google gemäß seiner Veröffentlichungspolitik zu Sicherheitslücken gezwungen, die Öffentlichkeit über deren Existenz zu informieren.

Es handelt sich bei der Lücke um einen unerlaubten Zugriff auf einen Null-Pointer in einem Windows-Kernel-Treiber, der es ermöglicht, sich lokal erhöhte Rechte im System zu verschaffen. Google glaubt, dass sich dieser Fehler nur in Windows 7 ausnutzen lässt und empfiehlt als Schutzmaßnahme ein Upgrade auf Windows 10.

Die Chrome-LĂĽcke CVE-2019-5786 wurde in Version 72.0.3626.121 geschlossen, das Anwender ĂĽber die Auto-Update-Funktion bereits erhalten haben sollten. Wann Microsoft das anstehende Sicherheits-Update fĂĽr Windows 7 liefern will, ist bisher nicht bekannt. (ju)