Reaktion: Microsoft bestätigt Windows-Sicherheitsloch und ist sauer

Die jüngst bekanntgewordene Sicherheitslücke im Hilfe- und Supportcenter von Windows hat Microsoft nun bestätigt. Der Softwarekonzern ist über den Enthüller der Informationen sehr verärgert.

11. Juni 2010 um 12:21 Uhr / Ingo Pakalski

251 Kommentare News folgen (öffnet im neuen Fenster)

Der Google-Entwickler Tavis Ormandy machte das Sicherheitsloch in Windows öffentlich, nachdem er Microsoft wenige Tage zuvor auf den Fehler hingewiesen hatte. Er begründete die Veröffentlichung mit seiner Einschätzung, das Sicherheitsleck werde bald aktiv ausgenutzt. Darüber zeigt sich Microsoft in einem Blogeintrag(öffnet im neuen Fenster) sehr verärgert.

Es wird beklagt, die Veröffentlichung der Sicherheitslücke sei nicht mit Microsoft abgestimmt gewesen. Der Softwarekonzern war erst am 5. Juni 2010 von Ormandy informiert worden, der die Informationen dann am 9. Juni 2010 veröffentlichte. Nach Meinung Microsofts hat Ormandy das Risiko erhöht, dass das Sicherheitsloch für Angriffe ausgenutzt wird. Microsoft habe nicht genügend Zeit gehabt, den Fehler zu beseitigen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Microsoft Azure Administrator Associate (E-Learning)

zum Kurs

Das Sicherheitsloch lässt sich ausnutzen, indem spezielle Befehle in eine URL integriert werden. Sobald ein Opfer diese URL öffnet, kann ein Fernwartungswerkzeug auf dem Rechner gestartet werden, um beliebige Aktionen durchzuführen. Wie Microsoft nun mitteilte, sind nur Windows XP und Windows Server 2003 davon betroffen. Auf Systemen mit Windows Vista, 7 oder Windows Server 2008 tritt der Fehler nicht auf.

Ormandy hatte zudem einen Hotfix veröffentlicht, mit dem sich der Fehler beheben lassen soll. Nach Aussage von Microsoft lassen sich aber die Änderungen durch den Hotfix leicht umgehen, so dass dieser keine Hilfe ist. Microsoft ist zudem der Meinung, dass Ormandys Analyse der Sicherheitslücke unvollständig ist.

Microsoft hat ein Security Advisory(öffnet im neuen Fenster) zu der offenen Sicherheitslücke veröffentlicht und erklärt in einem Blogeintrag(öffnet im neuen Fenster) , wie sich das Risiko eines Angriffs minimieren lässt. Noch gab Microsoft nicht bekannt, wann mit einem Patch zu rechnen ist, der den Fehler beseitigt.

Zur Startseite 251 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Spectre und Meltdown: Kleine Helferlein überprüfen den Rechner

Wer sich kurz über den Status der Meltdown- und Spectre-Patches informieren will, der muss nicht unbedingt den aufwendigen Weg über die Powershell unter Windows gehen. Mit zwei kleinen Werkzeugen lassen sich auch Rechner von Familienmitgliedern fix überprüfen. Eines kann die Patches sogar deaktivieren.

Relevante Themen