Google warnt vor Angriffen auf bisher ungepatchte Lücke in Windows
Sicherheitsforscher sind auf eine Zero-Day-Schwachstelle in Windows gestoßen. Microsoft soll schon Bescheid wissen, ein Update ist aber noch nicht verfügbar.
Aktuell sollen Angreifer eine als kritisch eingestufte Sicherheitslücke in Windows aktiv ausnutzen, warnen Sicherheitsforscher von Google. Eigenen Angaben zufolge haben sie Microsoft vor einer Woche darüber unterrichtet, bis jetzt ist aber noch kein Sicherheitspatch erschienen.
Normalerweise halten sich Sicherheitsforscher an einen Kodex und legen Sicherheitslücken verantwortungsvoll offen (responsible disclosure). Dabei tauschen sie sich vorab mit den Betroffenen aus und veröffentlichen erst Details zu einer Lücke, wenn ein Update bereit steht. Das kann schon mal 60 Tage dauern.
Ausnahme
In diesem Fall beruft sich Google auf seine eigene Richtlinie für kritische Schwachstellen, die aktiv ausgenutzt werden und für die es noch keine Sicherheitspatches gibt. Diese sogenannten Zero-Day-Lücken erfordern schnelleres Handeln und Google räumt Betroffenen einen Zeitraum von einer Woche ein. Auch Adobe unterrichteten sie über eine kritische Schwachstelle in Flash. Das entsprechende Notfall-Update erschien vergangene Woche.
Nutzen Angreifer die Lücke in Windows aus, sollen sie sich lokal höhere Rechte erschleichen können, um so aus der Sandbox eines Webbrowsers auszubrechen. Ausgangspunkt soll dabei ein bestimmter Systemaufruf über win32k.sys sein. Googles Chrome soll dafür nicht anfällig sein.
Microsofts Antwort auf eine Anfrage von heise Security steht noch aus. (des)
