Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.355 Produkten

Ronald Eikenberg 538

Google-Forscher entdecken dramatische Windows-Lücke Update

Tavis Ormandy "Worst RCE Exploit" in recent memory

Tavis Ormandy und Natalie Silvanovich haben nach eigenen Angaben eine der schlimmsten Windows-Lücken der letzten Zeit entdeckt. Sie betrifft Standardinstallationen und soll sich zur Konstruktion eines sich selbst verbreitenden Wurms eignen.

Zwei Sicherheitsforscher entdeckten offenbar eine dramatische Schwachstelle in Windows: Via Twitter verkündeteten sie, dass sie wahrscheinlich "die schlimmste Code-Ausführungs-Lücke der letzten Zeit" gefunden haben. Derart vollmundige Formulierungen sind erst mal nichts Ungewöhnliches und kein Grund zur Panik – in diesem Fall haben die Äußerungen aber besonderes Gewicht.

Anzeige

Denn hinter den Tweets stecken Tavis Ormandy und Natalie Silvanovich aus Googles Security-Spezialeinheit Project Zero. Ormandy ist seit Jahren für seine spektakulären Funde bekannt, Silvanovich hat unter anderem Lücken in den auf den Samsung-Smartphones vorinstallierten Hersteller-Apps aufgetan.

Tavis Ormandy "Worst RCE Exploit" in recent memory
This is crazy bad: Tavis Ormandy und Natalie Silvanovich sind offenbar auch eine richtig böse Windows-Lücke gestoßen.

Laut Ormandy ist die Windows-Lücke "crazy bad" (frei übersetzt "unfassbar böse") und ein Bericht ist bereits auf dem Weg. Wo genau die Lücke klafft, hat er bisher nicht verraten. Allerdings ließ der Forscher durchblicken, dass sich der Angreifer nicht im lokalen Netz des Opfers befinden muss – was im Umkehrschluss bedeutet, dass die Attacke über das Internet funktioniert.

Ferner sei die Lücke "wormable", lässt sich also zur Konstruktion eines klassischen Computerwurms nutzen, der sich eigenständig verbreitet. Nach Angaben des Forschers sind Standardinstallationen von Windows betroffen.

In der Security-Szene sorgte die Ankündigung für ordentlich Wirbel. Seit der Veröffentlichung der Tweets diskutieren Ormandys Follower darüber, welche Windows-Komponente wohl betroffen sein könnte. Ist es .NET, die Krypto-Bibliothek SChannel oder doch die Windows-Firewall? Der Google-Forscher ließ sich davon nicht aus der Reserve locken und verriet lediglich, dass .NET nicht betroffen ist.

Wann die beiden Forscher ihr Rätsel auflösen, ist momentan nicht absehbar. Das Project-Zero-Team räumt den betroffenen Herstellern in der Regel einen Zeitraum von 90 Tagen ein, um die Sicherheitslücke zu schließen, ehe es Details veröffentlicht. Ausgenommen sind davon allerdings Lücken, die bereits im Visier von Angreifer sind.

[Update 09.05.2017 9:45]:

Mittlerweile hat Microsoft in der Nacht zum heutigen Dienstag mit einem sehr schnellen Update für alle aktuellen Windows-Versionen die Sicherheitslücke geschlossen, die Tavis Ormandy und Natalie Silvanovich in der Malware Protection Engine entdeckt und veröffentlicht haben. Mehr dazu:

Anzeige
(rei)

538 Kommentare

Themen:

Anzeige
  1. Kritische Lücke in Microsofts Malware Protection Engine

    Kritische Lücke in Microsofts Malware Protection Engine

    Sicherheitsforscher haben höchst brisante Lücken im Virenschutz von Windows gefunden. Microsoft hat Updates verteilt. Anwender sollten sicherstellen, dass diese installiert wurden, da sonst das System ohne Zutun des Nutzers gekapert werden kann.

  2. Dramatische Sicherheitslücke in Virenschutz-Software von Windows geschlossen

    Microsoft patcht in Rekordzeit

    Microsoft hat eine schwerwiegende Lücke in der Antiviren-Engine von Windows beseitigt. Angreifer können verwundbare Systeme durch die Lücke auf vielfältige Weise infizieren. Betroffen sind alle Windows-Versionen sowie die Microsoft Security Essentials.

  3. Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

    Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich gemacht

    Durch Fehler in der Serversoftware von Cloudflare wurden monatelang sensible Informationen von Webseiten im Netz verteilt. Webseiten, die das CDN nutzen, schickten bei Anfragen den Speicherinhalt anderer Cloudflare-Seiten mit.

  4. Zero-Day-Lücke in Passwort-Manager LastPass

    Zero-Day-Lücke in Passwort-Manager LastPass

    Beim Duschen ist Security-Spezialist Tavis Ormandy eingefallen, wie man die aktuelle Version des Passwort-Managers LastPass zur Ausführung von Schadcode bringen kann. Der Hersteller hat einen Patch angekündigt und gibt Tipps zur Schadensbegrenzung.

  1. Viren: So schützen Sie Ihren Mac

    Passwort

    Wie Sie Ihren Mac am besten gegen Viren schützen, erklären wir Ihnen in unserem tipps+tricks-Artikel.

  2. Virenschutz für deinen Windows-PC

    Möchtest du deinen PC so gut es geht gegen Viren schützen? Dann lies hier unsere Tipps zum Thema Virenschutz.

  3. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  1. Google ARCore 1.0: Realistische Augmented Reality künftig auf 13 Android-Smartphones

    Google ARCore 1.0: Realistische Augmented Reality künftig auf 13 Android-Smartphones

    Die Augmented-Reality-Plattform ARCore wird zum MWC offiziell gestartet: Der Project-Tango-Nachfolger und Apple-ARKit-Konkurrent läuft künftig auf 13 Android-Telefonen.

  2. Unterwegs im BMW i3S

    BMW i3s

    Eine neue Schlupfregelung und eine harmonischere Fahrwerksabstimmung machen den batterieelektrischen BMW i3s zum Agilitätswunder mit ganzheitlichem Ansatz dank Recycling-Materialien und einer mit Strom aus Wasserkraft hergestellten CFK-Karosserie. Aber der Preis ...

  3. Maßnahmen für bessere Luft: Wer zahlt bei Gratis-Nahverkehr?

    Maßnahmen für bessere Luft: Wer zahlt bei Gratis-Nahverkehr?

    Ideen zur Luftreinhaltung gibt es viele, gratis sind die wenigsten. Vor allem der Vorstoß der Bundesregierung, in zunächst fünf Städten kostenlosen Nahverkehr anzubieten, wirft Fragen auf – und lenkt vom Anlass zu der teils hitzigen Diskussion ab.

  4. Wenn Rom ruckelt: Age of Empires Definitive Edition mit technischen Unzulänglichkeiten für 20 Euro

    Age of Empires Definitive Edition: Technische Unzulänglichkeiten für 20 Euro

    Microsoft hat Age of Empires generalüberholt und verkauft das Spiel nun für 20 Euro als Definitive Edition. Die neue Ausgabe ist im Vergleich zum Original hübscher, technisch allerdings miserabel umgesetzt.

Anzeige