Windows: Microsoft verschweigt Details zu zerstörerischem Patch
Ein Windows-Patch für eine Kernel-Lücke wird nicht aktiviert, weil dieser wohl Schaden anrichten könnte. Was genau, bleibt unklar.
Windows-Hersteller Microsoft hat eine wenig vertrauenerweckende Erläuterung zu einem Patch-Update veröffentlicht, die vor dem Einspielen des Updates warnt, wie GHacks berichtet. Das Update ist Teil der kumulativen Patch-Sammlung vom Juni 2023, die der Hersteller bereits vergangene Woche veröffentlichte.
Der Patch ist für eine Sicherheitslücke im Windows-Kernel (CVE-2023-32019) gedacht. Dazu heißt es: "Ein authentifizierter Benutzer (Angreifer) kann eine Sicherheitslücke in Windows Kernel ausnutzen, durch die Informationen preisgegeben werden. Für diese Sicherheitsanfälligkeit sind keine Administratorrechte oder andere erhöhte Rechte erforderlich. Der Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann den Heap-Speicher eines privilegierten Prozesses, der auf dem Server läuft, einsehen."
Die Möglichkeit zur Ausnutzung stuft Microsoft als wenig wahrscheinlich ein. Problematisch ist aber der Umgang von Microsoft mit dem Patch für die Lücke, denn dieser wird zwar bereitgestellt, aber nicht standardmäßig aktiviert. Wie Microsoft erklärt, könnte der Patch möglicherweise zu einem sogenannten breaking change führen, also zur Beeinträchtigung bestehender Systeme.
Um was genau es sich dabei handeln könnte und welche Auswirkungen das letztlich haben kann, nennt Microsoft jedoch nicht. Stattdessen fordert das Unternehmen seine Kunden lediglich dazu auf, die eigenen Systeme nach dem Einspielen des Patches zu bewerten und den Patch standardmäßig zu aktivieren, falls die Evaluation erfolgreich war. Auch Microsoft selbst will den Patch wohl noch ausgiebig testen und diesen in einer künftigen Version standardmäßig aktivieren. Warum dazu bisher keine Zeit war, bleibt aber unklar.