Microsoft will Lücke schließen, die angeblich keine ist

Windows XP ist offenbar ebenfalls von der möglichen Sicherheitslücke betroffen, die von israelischen Forschern in Windows 2000 nachgewiesen wurde und auf den Zufallszahlengenerator für sichere Verbindungen zurück geht.

Dies wurde mittlerweile von Microsoft bestätigt. Das Unternehmen geht dennoch weiterhin davon aus, dass von der potenziellen Schwachstelle nur wenig Gefahr ausgeht, da ein Angreifer bereits vollen Zugriff auf den jeweiligen Computer haben müsste, um überhaupt eine Chance zu haben.

Die Schwachstelle existiert im so genannten Pseudo-Random Number Generator (PRNG) von Windows, der bei der Verschlüsselung von Dateien und E-Mails eine Rolle spielt. Auch beim Aufbau von SSL-verschlüsselten Verbindungen mit Web-Browsern wird der Zufallsgenerator genutzt.

Als Einsatzbeispiel sei die Übermittlung von Passwörtern oder Kreditkartendaten beim Online-Banking genannt, bei der der Random Number Generator einen zufälligen Schlüssel generiert, damit die Gegenseite die verschlüsselt übertragenen Daten nutzen kann.


Microsoft hatte zunächst mit dem Hinweis reagiert, dass kaum von einer großen Gefahr für die Nutzer von Windows 2000 ausgeht und eine eingehende Untersuchung des Problems angekündigt. Dabei wurde nun offenbar festgestellt, dass Windows XP unter Umständen ebenfalls betroffen sein kann, obwohl die Redmonder zuerst anderes behauptet hatten.

Windows Vista und Windows 2003 sollen mit anderen PRNGs ausgerüstet sein, bei denen die angebliche Schwachstelle nicht besteht. Zumindest im Fall von Windows XP, das im Rahmen der üblichen Support-Dauer noch einige Jahre mit Updates versorgt wird, will Microsoft die Lücke schließen.

Nach Angaben des Unternehmens soll dies mit der Veröffentlichung des Service Pack 3 für Windows XP erfolgen, das entsprechende Fehlerbehebungen vor nehmen soll. Microsoft betonte erneut, dass von dem Problem selbst kaum Gefahr ausgeht, weil der Angreifer von vornherein mit Administratorrechten unterwegs sein müsste.

Da viele Anwender jedoch meist mit Administratorrechten arbeiten, weil dies die Standardeinstellung unter Windows XP ist, warnen die Entdecker der Lücke weiterhin vor einer Ausnutzung. Diese könnte auch durch die Verwendung einer Kombination mit anderer Schadsoftware erfolgen und sei deshalb nicht nur ein theoretisches Problem, so die israelischen Experten.

Ob auch Windows 2000 noch eine Aktualisierung erfahren wird, um die Schwachstelle aus der Welt zu schaffen, ist angesichts des bevorstehenden Endes der erweiterten Support-Phase fraglich. Weil Microsoft weiterhin davon ausgeht, dass es sich nicht um eine Sicherheitslücke handelt, scheint die Bereitstellung eines Patches für Windows 2000 unwahrscheinlich, denn während der erweiterten Support-Phase werden nur noch sicherheitsrelevante Updates bereit gestellt.