Microsoft bestätigt 17 Jahre alte Lücke in Windows

Sicherheitslücken Nachdem wir gestern über eine 17 Jahre alte Sicherheitslücke in Windows berichteten, hat Microsoft das Problem heute bestätigt und ein Security Advisory veröffentlicht. Zudem wurde ein Patch angekündigt. Im offiziellen Blog des Microsoft Security Response Center schreibt Jerry Bryant, dass man derzeit keine Informationen über die Ausnutzung der Sicherheitslücke vorliegen hat. Zudem stuft man sie als weniger gefährlich ein, da der Angreifer bereits gültige Zugangsdaten für einen Rechner benötigt, um sich Administratorrechte zu verschaffen.

Dennoch arbeitet man gemeinsam mit Partnern an einem Sicherheitsupdate. Es wird nicht ausgeschlossen, dass dieser Patch außer der Reihe veröffentlicht wird, also nicht an einem Patch-Day. Wann mit dem Software-Flicken zu rechnen ist, wurde nicht mitgeteilt.

Die Sicherheitslücke befindet sich in der 1993 eingeführten Virtual DOS Machine (VDM), mit der 16Bit-Anwendungen ausgeführt werden können. Die Lücke wurde vom Google-Entwickler Tavis Ormandy entdeckt. Der von ihm veröffentlichte Exploit öffnet eine Eingabeaufforderung, in der man Befehle mit Systemrechten ausführen kann, obwohl man als Nutzer mit eingeschränkten Rechten angemeldet ist.

Der Exploit funktioniert unter Windows XP, Server 2003, Vista, Server 2008 und Windows 7, allerdings nur in der 32Bit-Edition. Bereits im letzten Sommer hatte Ormandy Microsoft über das Problem informiert, bislang passierte allerdings nichts. Da man das Problem auf einfache Art und Weise beseitigen kann, veröffentlichte er gestern den Exploit. Dies hat Microsoft dazu bewegt, nun doch aktiv auf die Bedrohung zu reagieren.

Um die Sicherheitslücke zu umgehen, bis Microsoft einen Patch veröffentlicht, muss der Support für 16Bit-Anwendungen deaktiviert werden. Die entsprechende Option findet man im Gruppenrichtlinieneditor unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anwendungskompatibilität. Dort muss "Zugriff auf 16-Bit-Anwendungen verhindern" aktiviert werden.
Diese Nachricht empfehlen
Kommentieren49
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr F-Secure Internet Security - 1 Jahr / 1 Computer
F-Secure Internet Security - 1 Jahr / 1 Computer
Original Amazon-Preis
22,99
Im Preisvergleich ab
22,99
Blitzangebot-Preis
18,48
Ersparnis zu Amazon 20% oder 4,51

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden