Google-Angestellter publiziert Sicherheitslücke in Windows 8.1 – Microsoft verspricht Patch

Kurz vor dem Jahreswechsel hat ein Google-Sicherheitsexperte eine Sicherheitslücke in Windows 8.1 öffentlich gemacht. Laut Google sei Microsoft am 1. September 2014 auf die Schwachstelle hingewiesen worden. Nach Ablauf der obligatorischen 90-Tage-Frist wurden die Informationen nun nebst einem Beispiel-Exploit der Öffentlichkeit zugänglich gemacht. Das hat dann auch Microsoft zu einer Reaktion veranlasst: Man arbeite an einem Patch, der das Problem behebt.

Durch diese Sicherheitslücke ist es möglich, ein Programm mit Administratorrechten zu starten, ohne dass eine Sicherheitsabfrage durch die Benutzerkontensteuerung erfolgt. Es ist allerdings erforderlich, dass ein angemeldeter Benutzer das entsprechende Programm startet. Man muss den “Angriff” also entweder selbst durchführen oder man muss dazu verleitet werden, ein entsprechend modifiziertes Programm selbst zu starten.

In einem Beispiel startet der Google-Forscher mit dem Pseudonym forshaw den Taschenrechner von Windows mit Adminrechten.

Die Tatsache, dass nur ein lokal angemeldeter Benutzer diese Schwachstelle ausnutzen kann, relativiert die Gefährdung, dennoch ist es natürlich unschön, dass binnen drei Monaten keine Lösung gefunden wurde. Wer hinter der Publizierung allerdings eine gemeine Attacke von Google vermutet, der irrt sich mit hoher Wahrscheinlichkeit. Das Sicherheitsteam von Google gehört zu den fleißigsten Meldern von Sicherheitslücken an Microsoft, und grundsätzlich geschieht das vertraulich.

Quelle: ZDnet