(Bild: Microsoft)
Microsoft hat „sehr üble“ Windows-Lücke geschlossen
In einem ungewöhnlich aufrüttelnden Tweet hatte der Sicherheitsforscher Tavis Ormandy am Wochenende bekanntgegeben, dass er gemeinsam mit der Kollegin Natalie Silvanovich die „schlimmste Code-Ausführungs-Lücke in Windows der letzten Zeit“ entdeckt haben könnte. Das Ganze sei „sehr übel“ („crazy bad“), hieß es. Am Montagabend hat Microsoft jetzt gemeldet, dass die Lücke gefixt sei. Ormandy zeigte sich in einer ersten Reaktion per Twitter von der Schnelligkeit der Reaktion beeindruckt.
Laut Microsoft handelt es sich bei dem Fehler um eine Sicherheitslücke in Microsofts Malware Protection Engine, die den Nutzer eigentlich vor Schadsoftware schützen soll. Die Lücke erlaubt es Angreifern, Code auszuführen und die Kontrolle über ein System zu übernehmen. Ein von Microsoft schon veröffentlichtes Update behebt den Fehler. Laut Microsoft wird das Update innerhalb der nächsten 48 Stunden ausgeführt, wenn Nutzer die Option „automatische Updates“ eingestellt haben. Anderenfalls kann das Update auch manuell eingespielt werden.
Ormandy hatte in seiner Warnung nicht verraten, um was für eine Lücke es sich genau handelt. Allerdings hatte er in einem weiteren Tweet preisgegeben, dass sich ein Angreifer nicht im selben Netzwerk befinden müsse, also eine Attacke über das Internet möglich sei. Es seien Standardinstallationen betroffen. Und die Sicherheitslücke eigne sich zur Erstellung eines sich selbst verbreitenden Wurms, wie Heise Online unter Berufung auf den Ormandy-Begriff „wormable“ erklärte.
Windows-Lücke: Tweet sorgt für Wirbel
Die besorgten Fragen von Softwareexperten nach weiteren Details, etwa, welche Komponenten betroffen seien, hatte Ormandy nicht beantwortet. Der Google-Forscher hatte sich lediglich entlocken lassen, dass es sich nicht sich ebenfalls per Twitter zu äußern: Wenn ein Tweet für Panik oder ein Durcheinander in einem Unternehmen sorge, dann sei das Problem nicht der Tweet, sondern das Unternehmen.
1 von 13
Ormandy und Silvanovich gehören zu Googles Project Zero, das sich der Entdeckung von Sicherheitslücken verschrieben hat. Beide haben sich schon einen Namen mit spektakulären Funden gemacht. Ob Einzelheiten zu einer Sicherheitslücke veröffentlicht werden, hängt davon ab, ob sie schon aktiv von Angreifern ausgenutzt wird. Anderenfalls wird den betroffenen Herstellern ein Zeitraum von 90 Tagen eingeräumt, in dem die Lücke gefixt werden kann.
Das ist ein Update des Artikels vom 8. Mai.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team