Microsoft bestätigt 17 Jahre alte Lücke in Windows

Nachdem wir gestern über eine 17 Jahre alte Sicherheitslücke in Windows berichteten, hat Microsoft das Problem heute bestätigt und ein Security Advisory veröffentlicht. Zudem wurde ein Patch angekündigt.

Im offiziellen Blog des Microsoft Security Response Center schreibt Jerry Bryant, dass man derzeit keine Informationen über die Ausnutzung der Sicherheitslücke vorliegen hat. Zudem stuft man sie als weniger gefährlich ein, da der Angreifer bereits gültige Zugangsdaten für einen Rechner benötigt, um sich Administratorrechte zu verschaffen.

Dennoch arbeitet man gemeinsam mit Partnern an einem Sicherheitsupdate. Es wird nicht ausgeschlossen, dass dieser Patch außer der Reihe veröffentlicht wird, also nicht an einem Patch-Day. Wann mit dem Software-Flicken zu rechnen ist, wurde nicht mitgeteilt.


Die Sicherheitslücke befindet sich in der 1993 eingeführten Virtual DOS Machine (VDM), mit der 16Bit-Anwendungen ausgeführt werden können. Die Lücke wurde vom Google-Entwickler Tavis Ormandy entdeckt. Der von ihm veröffentlichte Exploit öffnet eine Eingabeaufforderung, in der man Befehle mit Systemrechten ausführen kann, obwohl man als Nutzer mit eingeschränkten Rechten angemeldet ist.

Der Exploit funktioniert unter Windows XP, Server 2003, Vista, Server 2008 und Windows 7, allerdings nur in der 32Bit-Edition. Bereits im letzten Sommer hatte Ormandy Microsoft über das Problem informiert, bislang passierte allerdings nichts. Da man das Problem auf einfache Art und Weise beseitigen kann, veröffentlichte er gestern den Exploit. Dies hat Microsoft dazu bewegt, nun doch aktiv auf die Bedrohung zu reagieren.

Um die Sicherheitslücke zu umgehen, bis Microsoft einen Patch veröffentlicht, muss der Support für 16Bit-Anwendungen deaktiviert werden. Die entsprechende Option findet man im Gruppenrichtlinieneditor unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anwendungskompatibilität. Dort muss "Zugriff auf 16-Bit-Anwendungen verhindern" aktiviert werden.