Microsoft hat „sehr üble“ Windows-Lücke geschlossen
In einem ungewöhnlich aufrüttelnden Tweet hatte der Sicherheitsforscher Tavis Ormandy am Wochenende bekanntgegeben, dass er gemeinsam mit der Kollegin Natalie Silvanovich die „schlimmste Code-Ausführungs-Lücke in Windows der letzten Zeit“ entdeckt haben könnte. Das Ganze sei „sehr übel“ („crazy bad“), hieß es. Am Montagabend hat Microsoft jetzt gemeldet, dass die Lücke gefixt sei. Ormandy zeigte sich in einer ersten Reaktion per Twitter von der Schnelligkeit der Reaktion beeindruckt.
Laut Microsoft handelt es sich bei dem Fehler um eine Sicherheitslücke in Microsofts Malware Protection Engine, die den Nutzer eigentlich vor Schadsoftware schützen soll. Die Lücke erlaubt es Angreifern, Code auszuführen und die Kontrolle über ein System zu übernehmen. Ein von Microsoft schon veröffentlichtes Update behebt den Fehler. Laut Microsoft wird das Update innerhalb der nächsten 48 Stunden ausgeführt, wenn Nutzer die Option „automatische Updates“ eingestellt haben. Anderenfalls kann das Update auch manuell eingespielt werden.
Ormandy hatte in seiner Warnung nicht verraten, um was für eine Lücke es sich genau handelt. Allerdings hatte er in einem weiteren Tweet preisgegeben, dass sich ein Angreifer nicht im selben Netzwerk befinden müsse, also eine Attacke über das Internet möglich sei. Es seien Standardinstallationen betroffen. Und die Sicherheitslücke eigne sich zur Erstellung eines sich selbst verbreitenden Wurms, wie Heise Online unter Berufung auf den Ormandy-Begriff „wormable“ erklärte.
Windows-Lücke: Tweet sorgt für Wirbel
Die besorgten Fragen von Softwareexperten nach weiteren Details, etwa, welche Komponenten betroffen seien, hatte Ormandy nicht beantwortet. Der Google-Forscher hatte sich lediglich entlocken lassen, dass es sich nicht sich ebenfalls per Twitter zu äußern: Wenn ein Tweet für Panik oder ein Durcheinander in einem Unternehmen sorge, dann sei das Problem nicht der Tweet, sondern das Unternehmen.
Ormandy und Silvanovich gehören zu Googles Project Zero, das sich der Entdeckung von Sicherheitslücken verschrieben hat. Beide haben sich schon einen Namen mit spektakulären Funden gemacht. Ob Einzelheiten zu einer Sicherheitslücke veröffentlicht werden, hängt davon ab, ob sie schon aktiv von Angreifern ausgenutzt wird. Anderenfalls wird den betroffenen Herstellern ein Zeitraum von 90 Tagen eingeräumt, in dem die Lücke gefixt werden kann.
Das ist ein Update des Artikels vom 8. Mai.