Abo
  • IT-Karriere:

Noch kein Update: Google warnt vor aktiv ausgenutzter Lücke in Windows 7

Die Sicherheitsforscher von Google warnen vor einer Lücke in Windows 7, die derzeit aktiv ausgenutzt wird und in Zusammenhang mit der schweren Sicherheitslücke im eigenen Chrome-Browser steht. Microsoft arbeitet an einem Patch, der aber noch nicht bereitsteht.

Artikel veröffentlicht am ,
Angreifer nutzen eine Lücke in Windows 7 aktiv aus, Patches stehen aber noch nicht bereit.
Angreifer nutzen eine Lücke in Windows 7 aktiv aus, Patches stehen aber noch nicht bereit. (Bild: Mypouss, flickr.com/CC-BY-SA 2.0)

Im Namen der Threat Analysis Group von Google warnt der Sicherheitsforscher Clement Lecigne vor einer Sicherheitslücke in Windows 7, die derzeit aktiv von Angreifern ausgenutzt werde. Diese steht wohl im direkten Zusammenhang mit der Schwachstelle in Googles Chrome-Browser, vor der der Hersteller erst Mitte dieser Woche eindringlich gewarnt hatte. Für die Lücke in Chrome steht ein Notfall-Update bereit, das Nutzer dringend einspielen sollten. In der stabilen Chrome-Version 72.0.3626.121 ist der Fehler behoben.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Radeberger Gruppe KG, Frankfurt

Diese in Chrome wird laut Aussagen von Google zusammen mit der nun veröffentlichten Lücke in Microsofts Windows-Betriebssystem ausgenutzt. Konkret können sich Angreifer durch Ausnutzen einer Lücke in dem Kernel-Treiber Win32k.sys erweiterte Rechte beschaffen und damit aus einer Sandbox-Umgebung ausbrechen. Bei der Lücke handelt es sich um eine Nullzeiger-Derefenzierung in einer Funktion, die unter bestimmten Umständen mit dem System-Aufruf NtUserMNDragOver() erzwungen werden kann.

Wie der Name gut beschreibt, zeigt ein Nullzeiger eigentlich explizit an, dass auf nichts verweisen wird. Eine Derefenzierung dieses Zeigers, also der Versuch, auf den angezeigten Nullwert zuzugreifen, ist explizit nicht definiertes Verhalten. Das kann in dem vorliegenden Fall offensichtlich erfolgreich für einen Angriff genutzt werden, in anderen Fällen stürzt das von einem solchen Fehler betroffene Programm schlicht ab.

Google geht davon aus, dass ein erfolgreicher Angriff nur unter Windows 7 durchgeführt werden kann. Die von den Forschern beobachteten aktiven Angriffe zielten darüber hinaus nur auf 32-Bit-Systeme ab. Entsprechend seiner Richtlinie zur Offenlegung von Sicherheitslücken warnt Google nun öffentlich vor der Schwachstelle. Microsoft weiß laut Google seit etwa einer Woche davon und arbeitet aktiv an einem Patch, um das Problem zu beheben. Ein Update steht aber noch nicht bereit. Google empfiehlt Nutzern in Anbetracht der Lücke möglichst auf das aktuelle Windows 10 zu wechseln, da diese Version nicht davon betroffen ist und auch generell über bessere Sicherheitsvorkehrungen als Windows 7 verfügt.



Anzeige
Spiele-Angebote
  1. (-81%) 0,75€
  2. (-78%) 7,77€
  3. 0,00€
  4. (-60%) 19,99€

George99 11. Mär 2019

Aha. Gerade bei Altgeräten mit weniger als 4GB war Windows 7 in der 32bit Version der...

sofries 10. Mär 2019

Ja VMs sind sicher die Zielgruppe von Hackern. Da brechen sie aus einer Sandbox aus um...

0x8100 08. Mär 2019

https://www.youtube.com/watch?v=bLHL75H_VEM !


Folgen Sie uns
       


Cray X Exoskelett angesehen (Hannover Messe 2019)

Cray X ist ein aktives Exoskelett, das beim Heben unterstützt. Das Video stellt das System vor.

Cray X Exoskelett angesehen (Hannover Messe 2019) Video aufrufen
Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  2. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge
  3. Microsoft-Browser Edge bekommt Chromium-Herz

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    •  /