Microsoft findet Informationsleck und schließt kritische Windows-Lücken

Microsoft will anlässlich seines Mai-Patchdays am kommenden Dienstag insgesamt sieben Bulletins veröffentlichten, die 23 Lücken beheben. Außerdem erklärt das Unternehmen, es habe die Schuldigen für die Veröffentlichung des Microsoft-Demo-Exploits gefunden und aus dem Partnerprogramm ausgeschlossen.

Zwei Bulletins schließen kritische Schwachstellen in allen unterstützten Windows-Versionen (ab XP SP3, einschließlich Windows Server). Weitere kritische Sicherheitslücken wird Microsoft laut der Ankündigung in Office, Silverlight und dem .NET Framework schließen. Durch die Lücken kann ein Angreifer potenziell aus der Ferne – etwa wenn eine speziell präparierte Webseite aufgerufen wird – Schadcode ins System einschleusen. Zudem plant der Softwarekonzern, Rechteausweitungslücken (Privilege Escalation) in allen Windows-Versionen ab Vista zu schließen.

Wie in der Vergangenheit werden die Teilnehmer des Microsoft Active Protections Program (MAPP) vorab vertraulich mit Schwachstellendetails und passenden Test-Tools (Exploits) versorgt. Dieses Mal will das Unternehmen allerdings besser auf die herausgegebenen Daten aufpassen: "Wir haben die existierenden Kontrollen verstärkt und Maßnahmen ergriffen, unsere Informationen besser zu schützen", verspricht Microsofts Sicherheitsteam in seinem Blog.

Das scheint auch bitter nötig zu sein: Im März gelangte ein von Microsoft im Rahmen des MAPP entwickelter Demo-Exploit wenige Tage nach dem Patchday ins Netz. Mit dem Exploit war ein Windows-Rechner mit aktiviertem RDP-Server (Remote-Desktop-Verbindung) aus der Ferne zum Absturz zu bringen.

Die undichte Quelle ist nun identifiziert: Laut Microsoft ist die Netzwerksicherheitsfirma DPTech aus Hángzhōu, China, für das Datenleck verantwortlich. Ob das Unternehmen die Informationen absichtlich herausgegeben hat, gab Microsoft nicht bekannt. DPTech wurde aus dem MAPP ausgeschlossen. (rei)