Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 355

Google-Analyse: Microsoft patcht Windows 7/8 teilweise nicht

Google-Analyse: Microsoft patcht Windows 7/8 teilweise nicht

Bild: pixabay.com

Forscher von Google haben nachgewiesen, dass Microsoft Sicherheitslücken in Windows 10 behoben hat, die gleichen Lücken in Windows 7 und 8 jedoch offen ließ. Patches kamen erst, als die Veröffentlichung durch Project Zero drohte.

Microsoft patcht identische Bugs in den Windows-Versionen 7, 8 und 10 mit unterschiedlicher Priorität – und braucht bisweilen eine Extra-Aufforderung, sich um die älteren Versionen zu kümmern. Zu dieser Einschätzung gelangte Googles Project-Zero-Team bei einem Binärvergleich zwischen Kernel-Komponenten der drei Windows-Versionen vor und nach dem Einspielen verschiedener Updates.

Anzeige

Die Sicherheitsforscher entdeckten Ende Mai dieses Jahres eine Sicherheitslücke (CVE-2017-8680) in den Windows-Versionen 7 und 8 – und stellten zugleich auch fest, dass der Fehler in Windows 10 bereits zu einem früheren Zeitpunkt beseitigt worden war. Dass Bugs in aktuellen Betriebssystemversionen im Rahmen der Weiterentwicklung "versehentlich" behoben werden, ist an sich nichts Ungewöhnliches. Die Beschaffenheit des nur wenige Code-Zeilen umfassenden Win-10-Patches wies laut Project Zero allerdings darauf hin, dass sich Microsoft des Bugs bewusst war und dennoch zunächst auf das Flicken der älteren Versionen verzichtete. Microsoft beseitigte die Sicherheitslücke in Windows 7 und 8 erst, als die Veröffentlichung drohte. Project Zero verfolgt eine sehr strikte Policy und macht letztlich alle gefundenen Schwachstellen publik.

Dass Microsoft ältere Betriebssystem-Versionen stiefmütterlich behandelt, konnte Project Zero noch anhand zweier weiterer Schwachstellen (CVE-2017-8684 und CVE-2017-8685) untermauern, die es ebenfalls mittels Binärvergleich ausfindig machte. Sie wurden in Windows 7 später gepatcht als in Windows 8 und dann auch noch mit unterschiedlichen Flicken versehen.

Project Zero
Die rot markierten Stellen im Pseudocode zeigen Microsofts CVE-2017-8680-Patch für Windows 10. (Bild: Project Zero)

Als Entschuldigung für die fehlenden Patches könnte man anführen, dass Microsoft das Ausnutzen der drei genannten Bugs durchweg als "wenig wahrscheinlich" einstufte. Das rechtfertigt jedoch nicht die zusätzliche Gefahr, der Nutzer älterer, ungefixter Versionen durch die inkonsistente Patch-Politik ausgesetzt sind. Denn aktuelle Updates stellen einen optimalen Ausgangspunkt für Binärvergleiche dar. Diese wiederum sind mit den richtigen Tools kinderleicht durchführbar, enthüllen sämtliche Code-Modifikationen – und somit auch die angreifbaren Schwachstellen im alten Code. Potenzielle Angreifer müssen dann "nur noch" den passenden Exploit schreiben und haben im schlimmsten Fall unbegrenzt Zeit für dessen Anwendung. (ovw)

355 Kommentare

Themen:

Anzeige
  1. Google veröffentlicht erneut Windows-Zeroday-Lücke

    Google veröffentlicht erneut Windows-Zeroday-Lücke

    Google hat eine Windows-Lücke offengelegt, für die Microsoft keinen Patch hat. Mittels eines Speicherverarbeitungsfehlers beim Öffnen von Windows Metafiles können Angreifer an Speicher kommen, auf den sie keinen Zugriff haben dürften.

  2. Kritische Lücke in Microsofts Malware Protection Engine

    Kritische Lücke in Microsofts Malware Protection Engine

    Sicherheitsforscher haben höchst brisante Lücken im Virenschutz von Windows gefunden. Microsoft hat Updates verteilt. Anwender sollten sicherstellen, dass diese installiert wurden, da sonst das System ohne Zutun des Nutzers gekapert werden kann.

  3. Patchday bei Microsoft: Erneut SMB-Schwachstelle geschlossen

    Patchday bei Microsoft: Erneut SMB-Schwachstelle geschlossen

    Im Juli schließt Microsoft bei seinem Patchday insgesamt 19 kritische Sicherheitslücken in Windows, Office, Exchange und den Browsern IE und Edge. Außerdem schließt die Firma eine kritische Lücke in der Augmented-Reality-Brille HoloLens.

  4. Microsoft patcht Flash Player unter Windows außer der Reihe

    Microsoft patcht Flash Player unter Windows außer der Reihe

    Diesen Monat ist der Patchday trotz bekannter Sicherheitslücken in Windows ausgefallen. Nun liefert Microsoft zumindest Patches für kritische Lücken im Flash Player nach.

  1. Was Sie über Windows 10 und das "Fall Creators Update" wissen müssen

    Windows 10 und das Creators Update

    Was bringt das Fall Creators Update für Windows 10? Lässt es sich forcieren oder verhindern? Kann ich auch jetzt noch gratis auf Windows 10 umsteigen? Ein Überblick zu Microsofts neuester Windows-10-Ausgabe und Antworten auf häufige Fragen.

  2. Restric'tor: Profi-Schutz für jedes Windows

    Restric'tor: Software Restriction Policies für alle

    In die Windows-Ausgaben, die für den Einsatz in Unternehmen vorgesehen sind, baut Microsoft Funktionen ein, mit denen Administratoren ihre Anwender zuverlässig vor Hacker-Angriffen schützen können. Besitzern von Windows Home bleibt der Zugang zu diesen Funktionen verwehrt – bislang: Das c't-Programm Restric'tor macht sie in allen Windows-Editionen zugänglich.

  3. Das Gratis-Upgrade auf Windows 10

    Das Gratis-Upgrade auf Windows 10

    Was ist neu in Windows 10, was ist besser und was schlechter? Und: Kann ich das Gratis-Upgrade für Windows 10 immer noch bekommen? Dieser Artikel gibt Ihnen einen Überblick zu Microsofts neuem Betriebssystem und Antworten auf häufige Fragen.

  1. Die neue Triumph Tiger 1200

    Zweirad

    Die neue Triumph Tiger 1200 ist eine gründlich renovierte Tiger Explorer. Sie hat vor allem Gewicht verloren und ihr ohnehin schon kräftiger Motor packt jetzt noch bulliger zu. Allerdings verwirrt die Modellvielfalt von nicht weniger als sechs Varianten den unbedarften Kunden

  2. Toyota Hilux 3.0 D-4D Double Cab im Fahrbericht

    Pick-ups haben das Flair von Baustelle, Arbeit und Abenteuer. So natürlich auch der neue Toyota Hilux. Wie er sich auf der Straße und im Gelände schlägt, haben wir mit dem 171 PS starken Top-Modell ausprobiert

Anzeige