Google veröffentlicht Sicherheitsleck in Windows 10

Google hat ein weiteres Sicherheitsleck in Windows 10 öffentlich gemacht. Offenbar ist Microsoft davon ausgegangen, den Fehler mit einem Patch im Februar-Patchday behoben zu haben. Aber der Google-Forscher James Forshaw vertritt eine andere Ansicht.

Der Mitarbeiter von Googles Project Zero hat im November mehrere Fehler an Microsoft gemeldet. Die Bugs in Windows 10 nennt Google Fehler 1427 und Fehler 1428. Microsoft aber scheint Fehler 1427 trotz eindringlicher Warnung seitens Googles als Duplikat eingestuft zu haben.

Microsoft hatte dem Fehler die Kennung  ID CVE-2018-0826 gegeben und das Leck als „Wichtig“ eingestuft. „Es besteht ein Privilege-Fehler, wenn Storage Services Objekte im Memory nicht richtig behandeln. Ein Hacker, der das erfolgreich ausnutzt, kann einen Prozess in einem erhöhten Kontext ausführen“, kommentierte Microsoft. Allerdings müsste der Angreifer sich zunächst erfolgreich in das System einklinken und dann eine besondere Anwendung starten, um die Kontrolle über das System zu erlangen.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Forshaw erklärt aber, dass Microsoft nur den unter 1427 beschriebenen Fehler behoben habe. Er hatte eigens den Fehler in zwei unterschiedlichen Kennungen gemeldet, um sicherstellen zu können, dass „der Edge-Case“, der in Fehler 1428 beschrieben wird nicht übersehen wird.

Der Fehler sei von Microsoft jedoch nicht behoben worden. Daher habe Forshaw jetzt den Status wieder auf neu gesetzt und das Leck öffentlich gemacht. Der Forscher erklärt auch, dass in dem Bewertungssystem von Google das Leck als ‚hoch‘ einstuft und nicht wie Microsoft nur als wichtig. Google kommt zu diesem Schluss, weil sich ein normaler User darüber Administrator-Rechte verschaffen kann. Microsoft jedoch hält dagegen, dass sich das Leck nicht remote ausnutzen lässt.

Vor wenigen Tagen hatte Google bereits Details zu einer Sicherheitslücke im Browser Edge veröffentlicht. Microsoft konnte den Fehler nicht innerhalb der gesetzten Frist von 90 Tagen schließen. Entdeckt wurde die Anfälligkeit von Mitarbeitern von Googles Project Zero. Sie erlaubt es, eine wichtige Sicherheitsfunktion von Edge zu umgehen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Das Arbitrary Code Guard (ACG) genannte Feature hatte Microsoft mit dem Creators Update für Windows 10 eingeführt, also vor rund einem Jahr. Es soll sicherherstellen, dass nur korrekt signierter Code in den Speicher geladen werden kann.

Allerdings muss der Browser eine Ausnahme machen: Just-in-Time-Compiler (JIT) moderner Browser wandeln JavaScript in nativen Code um, wovon Teile unsigniert sein können und in einem eigenen Prozess ausgeführt werden. Damit JIT-Compiler bei aktiviertem ACG funktionieren, gibt Microsoft dem JIT-Compiler von Edge einen separaten Prozess und führt diesen in einer eigenen isolierten Sandbox aus. Ein Hacker kann dann aber die Speicheradresse des JIT-Prozesses vorhersagen und so dem JIT-Server beliebigen Code unterjubeln.

Weil der Fehler offenbar schwierig zu beheben ist, könne Microsoft den Termin nicht einhalten. Zwei Tage nach dem Microsoft-Patch-Day hat Google das Leck publik gemacht. Microsoft will nun wenigstens bis zum Patch-Day im März den Fehler beheben.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Martin Schindler

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Stunde ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago