Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 355

Google-Analyse: Microsoft patcht Windows 7/8 teilweise nicht

Google-Analyse: Microsoft patcht Windows 7/8 teilweise nicht

Bild: pixabay.com

Forscher von Google haben nachgewiesen, dass Microsoft Sicherheitslücken in Windows 10 behoben hat, die gleichen Lücken in Windows 7 und 8 jedoch offen ließ. Patches kamen erst, als die Veröffentlichung durch Project Zero drohte.

Microsoft patcht identische Bugs in den Windows-Versionen 7, 8 und 10 mit unterschiedlicher Priorität – und braucht bisweilen eine Extra-Aufforderung, sich um die älteren Versionen zu kümmern. Zu dieser Einschätzung gelangte Googles Project-Zero-Team bei einem Binärvergleich zwischen Kernel-Komponenten der drei Windows-Versionen vor und nach dem Einspielen verschiedener Updates.

Die Sicherheitsforscher entdeckten Ende Mai dieses Jahres eine Sicherheitslücke (CVE-2017-8680) in den Windows-Versionen 7 und 8 – und stellten zugleich auch fest, dass der Fehler in Windows 10 bereits zu einem früheren Zeitpunkt beseitigt worden war. Dass Bugs in aktuellen Betriebssystemversionen im Rahmen der Weiterentwicklung "versehentlich" behoben werden, ist an sich nichts Ungewöhnliches. Die Beschaffenheit des nur wenige Code-Zeilen umfassenden Win-10-Patches wies laut Project Zero allerdings darauf hin, dass sich Microsoft des Bugs bewusst war und dennoch zunächst auf das Flicken der älteren Versionen verzichtete. Microsoft beseitigte die Sicherheitslücke in Windows 7 und 8 erst, als die Veröffentlichung drohte. Project Zero verfolgt eine sehr strikte Policy und macht letztlich alle gefundenen Schwachstellen publik.

Patches machen Schwachstellen sichtbar

Dass Microsoft ältere Betriebssystem-Versionen stiefmütterlich behandelt, konnte Project Zero noch anhand zweier weiterer Schwachstellen (CVE-2017-8684 und CVE-2017-8685) untermauern, die es ebenfalls mittels Binärvergleich ausfindig machte. Sie wurden in Windows 7 später gepatcht als in Windows 8 und dann auch noch mit unterschiedlichen Flicken versehen.

Project Zero
Die rot markierten Stellen im Pseudocode zeigen Microsofts CVE-2017-8680-Patch für Windows 10. Vergrößern
Bild: Project Zero

Als Entschuldigung für die fehlenden Patches könnte man anführen, dass Microsoft das Ausnutzen der drei genannten Bugs durchweg als "wenig wahrscheinlich" einstufte. Das rechtfertigt jedoch nicht die zusätzliche Gefahr, der Nutzer älterer, ungefixter Versionen durch die inkonsistente Patch-Politik ausgesetzt sind. Denn aktuelle Updates stellen einen optimalen Ausgangspunkt für Binärvergleiche dar. Diese wiederum sind mit den richtigen Tools kinderleicht durchführbar, enthüllen sämtliche Code-Modifikationen – und somit auch die angreifbaren Schwachstellen im alten Code. Potenzielle Angreifer müssen dann "nur noch" den passenden Exploit schreiben und haben im schlimmsten Fall unbegrenzt Zeit für dessen Anwendung. (ovw)

355 Kommentare

Themen:

Anzeige
  1. Google veröffentlicht erneut Windows-Zeroday-Lücke

    Google veröffentlicht erneut Windows-Zeroday-Lücke

    Google hat eine Windows-Lücke offengelegt, für die Microsoft keinen Patch hat. Mittels eines Speicherverarbeitungsfehlers beim Öffnen von Windows Metafiles können Angreifer an Speicher kommen, auf den sie keinen Zugriff haben dürften.

  2. Kritische Lücke in Microsofts Malware Protection Engine

    Kritische Lücke in Microsofts Malware Protection Engine

    Sicherheitsforscher haben höchst brisante Lücken im Virenschutz von Windows gefunden. Microsoft hat Updates verteilt. Anwender sollten sicherstellen, dass diese installiert wurden, da sonst das System ohne Zutun des Nutzers gekapert werden kann.

  3. Patchday bei Microsoft: Erneut SMB-Schwachstelle geschlossen

    Patchday bei Microsoft: Erneut SMB-Schwachstelle geschlossen

    Im Juli schließt Microsoft bei seinem Patchday insgesamt 19 kritische Sicherheitslücken in Windows, Office, Exchange und den Browsern IE und Edge. Außerdem schließt die Firma eine kritische Lücke in der Augmented-Reality-Brille HoloLens.

  4. Microsoft patcht Flash Player unter Windows außer der Reihe

    Microsoft patcht Flash Player unter Windows außer der Reihe

    Diesen Monat ist der Patchday trotz bekannter Sicherheitslücken in Windows ausgefallen. Nun liefert Microsoft zumindest Patches für kritische Lücken im Flash Player nach.

  1. Was Sie über Windows 10 und das "Fall Creators Update" wissen müssen

    Windows 10 und das Creators Update

    Was bringt das Fall Creators Update für Windows 10? Lässt es sich forcieren oder verhindern? Kann ich auch jetzt noch gratis auf Windows 10 umsteigen? Ein Überblick zu Microsofts neuester Windows-10-Ausgabe und Antworten auf häufige Fragen.

  2. Restric'tor: Profi-Schutz für jedes Windows

    Restric'tor: Software Restriction Policies für alle

    In die Windows-Ausgaben, die für den Einsatz in Unternehmen vorgesehen sind, baut Microsoft Funktionen ein, mit denen Administratoren ihre Anwender zuverlässig vor Hacker-Angriffen schützen können. Besitzern von Windows Home bleibt der Zugang zu diesen Funktionen verwehrt – bislang: Das c't-Programm Restric'tor macht sie in allen Windows-Editionen zugänglich.

  3. Das Gratis-Upgrade auf Windows 10

    Das Gratis-Upgrade auf Windows 10

    Was ist neu in Windows 10, was ist besser und was schlechter? Und: Kann ich das Gratis-Upgrade für Windows 10 immer noch bekommen? Dieser Artikel gibt Ihnen einen Überblick zu Microsofts neuem Betriebssystem und Antworten auf häufige Fragen.

  1. Vorstellung: Audi A7

    Audi A7

    Audi macht mit dem zweiten A7 keinen Neuanfang im Design. Doch technisch tut sich mehr als optisch. Bis zu 39 Assistenten sollen dem Fahrer vieles abnehmen. Auf Innovationen im Antriebsbereich muss der Kunde aber noch warten

  2. Der "Baby-Hitler" schlägt zurück!

    Läutet der absurde Kult um Österreichs blutjungen starken Mann das Ende der Satire ein?

  3. Meinungsfreiheit: Raspi als anonymer Webserver

    Meinungsfreiheit: Raspi als anonymer Webserver

    Das Internet ist grenzenlos, die vom Grundgesetz garantierte Meinungsfreiheit hingegen gilt nur in Deutschland. Kritiker müssen mit Repressalien rechnen – selbst innerhalb Europas. Mit einem Raspi Zero W können Sie Inhalte anonym veröffentlichen.

  4. Activision-Patent für Mikrotransaktionen: Matchmaking benachteiligt Spieler ohne Ingame-Käufe

    Activision-Patent für Mikrotransaktionen: Matchmaking benachteiligt Spieler ohne Ingame-Käufe

    Aus einem Patent von Activision geht hervor, dass Matchmaking künftig Spieler ohne kostenpflichtige Ingame-Gegenstände benachteiligen könnte. Sie werden in Arenen mit stärkeren Spielern geworfen, die bereits Zusatzwaffen besitzen.

Anzeige