Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke
Zum wiederholten Mal hat Googles Project-Zero-Team eine Windows-Sicherheitslücke veröffentlicht, für die noch keine Patches bereitstehen. Sie ist allerdings nicht aus der Ferne und nur unter eng definierten Voraussetzungen ausnutzbar.
Ein Sicherheitsforscher von Googles Project Zero hat Details zu einer Sicherheitslücke im .NET Framework veröffentlicht, die Angreifern auf Win-10-S- sowie auf allen Win-10-Systemen mit aktiviertem Device Guard unter bestimmten Voraussetzungen die Ausführung beliebigen Codes ermöglicht. Laut ihres Entdeckers birgt sie jedoch nur eine moderate Gefahr: Ein erfolgreicher Exploit setzt voraus, dass bereits (Schad-)Code des Angreifers auf dem Zielrechner läuft. Zudem muss er sich vor Ort befinden.
Eine CVE-Kennziffer wurde der Lücke, die laut Microsoft im Zuge des Spring Creators Update aka "Redstone 4" gepatcht werden soll, bislang noch nicht zugewiesen.
Fristverlängerung abgelehnt
Wie der Timeline im Monorail-Bugtracker zu entnehmen ist, hatte Microsoft den Forscher mehrfach um eine 14-tägige Verlängerung der bei Project Zero üblichen 90-tägigen Geheimhaltungsfrist gebeten und dabei auf das Spring Creators Update verwiesen. Der lehnte jedoch ab – schließlich existiere noch immer kein offizielles Erscheinungsdatum für (eigentlich schon für Anfang April geplante) Update. Zusätzlich argumentierte er, dass es sich nicht um ein gravierendes Sicherheitsproblem handle.
Project Zeros strenge Vorgehensweise beim Veröffentlichen von Lücken wurde in der Vergangenheit bereits häufiger kritisiert. Erst im Februar hatten die Entwickler des Edge-Browsers eine ihnen zugestandene Zusatz-Schonfrist von 14 Tagen verstreichen lassen, da sie zum Fixen einer komplexen Zero-Day-Lücke schlicht nicht ausreichte.
(ovw)