windows10

Windows 10 – Google warnt vor bisher unbekannter Sicherheitslücke


Google  hat im hauseigenen Sicherheitsblog vor einer bisher unbekannten Sicherheitslücke gewarnt, die bereits aktiv ausgenutzt wird und so zu einer ernsten Gefahr werden könnte. Adobe hat dabei bereits reagiert und ein entsprechendes Update bereit gestellt. Von Microsoft* gibt es dagegen leider noch keine Reaktion und auch keine Möglichkeit, die Sicherheitslücke zu schließen. Das ist ein wirkliches Problem, denn die Lücke ist relativ kritisch.

Google schreibt dazu:

The Windows vulnerability is a local privilege escalation in the Windows kernel that can be used as a security sandbox escape. It can be triggered via the win32k.sys system call NtSetWindowLongPtr() for the index GWLP_ID on a window handle with GWL_STYLE set to WS_CHILD. Chrome*’s sandbox blocks win32k.sys system calls using the Win32k lockdown mitigation on Windows 10, which prevents exploitation of this sandbox escape vulnerability.

Normalerweise sollte die Sandbox problematische Zugriffe und Kommandos verhindern. Wenn es eine Möglichkeit gibt, aus der Sandbox auszubrechen und direkt auf das System zuzugreifen, wird dieser Sicherheitsmechanismus komplett ausgehebelt und bietet dann eher eine trügerische Sicherheit.

Google Politik: Sicherheitslücken werden nach einer bestimmen Frist offen gelegt

Google hat im Bezug auf Sicherheitslücke eine sehr restriktive Politik. Gibt es neue Lücke, die das Sicherheitsteam gefunden hat, werden diese zunächst an die entsprechenden Ansprechpartner (in dem Fall Microsoft* und Adobe) kommuniziert. Dies soll den Unternehmen die Möglichkeit geben, die Lücken zu schließen. Nach sieben Tagen wird die Lücke dann offen gelegt – zumindest wenn es sich um eine schwerwiegende Lücke handelt die bereits ausgenutzt wird. Das soll Nutzer in Kenntnis setzen und diesen die Möglichkeit geben, sich zu schützen. Dazu erhöht die Veröffentlichung natürlich den Druck auf die Unternehmen, doch aktiv zu werden und einen Sicherheitspatch zu veröffentlichen. Die Richtlinien dazu lauten wie folgt:

Our standing recommendation is that companies should fix critical vulnerabilities within 60 days — or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action — within 7 days — is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Diese Frist war nun abgelaufen und daher hat Google die Sicherheitslücke veröffentlicht.

Für Nutzer ändert sich damit aber nicht sehr viel, denn es gibt kaum etwas, dass man derzeit dagegen machen könnte. Google empfiehlt daher auch in erster Linie darauf zu achten, wann neue Updates kommen und diese sofort einzuspielen, in der Hoffnung, das Microsoft* dann einen Fix für die Sicherheitslücke mit veröffentlicht haben. Dazu sollte man sicher stellen, dass für den Flash Player das neuste Update installiert ist, das bereits den Fix der Sicherheitslücke enthält und damit zumindest dieses Problem absichert. Laut Google und Adobe sollte das entsprechende Update für den Flash Player bereits seit dem 26. Oktober erhältlich sein. Falls es noch keine entsprechende Meldung unter Windows gegeben haben sollte, ist es durchaus sinnvoll selbst zu schauen, ob sich der Flash Player updaten lässt.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.