Windows 10-Lücke entdeckt: Deutscher Forscher erhält 100.000 Dollar

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Ein deutscher Sicherheitsforscher hat einen vollständigen und zuverlässigen Exploit für Internet Explorer 11 (64 Bit) unter Windows 10 präsentiert, mit dem es einem Angreifer gelingt, eine Remote-Code-Ausführung durch den Ausbruch aus der Sandbox zu vollziehen. Microsoft zahlte für die Einreichung der Sicherheitslücke die Höchstsumme von 100.000 US-Dollar.
Microsofts Bug Bounty Programm läuft erst seit Mitte 2013. Der Konzern zahlt dabei für die Übersendung von Schwachstellen in ihren Produkten und Web-Anwendungen mehrere hundert bis zu einigen tausend US-Dollar im Normalfall. Für besonders schwerwiegende Sicherheitsprobleme greift Microsoft aber auch tiefer in die Tasche - was allerdings sehr selten passiert. Blue Frost SecurityIm Rahmen der Sicherheitskonferenz CanSecWest 2016 in Vancouver ehrte Microsoft den deutschen Researcher Moritz Jodeit. Foto: Blue Frost Security Nun wird zum vierten Mal in der Geschichte des Bug Bounty Programms die Höchstsumme von 100.000 US-Dollar für einen Exploit gezahlt. Der deutsche Sicherheitsforscher Moritz Jodeit vom Frankfurter Unternehmen Blue Frost Security erhält den Preis für die Übersendung eines Exploits, an dem Jodeit laut Heise rund drei Monate gearbeitet hatte.

Mehrere Techniken angewandt

Sein Exploit zielt auf eine Schwachstelle im Internet Explorer 11 (64 Bit) unter Windows 10, "welcher die Ausführung beliebigen Codes im Kontext des angegriffenen Benutzers ermöglicht", erläutert das Unternehmen Blue Frost Security in einem Blogeintrag. "Neben der initialen Schwachstelle enthielt die Einreichung eine Technik zum Ausbruch aus der Internet Explorer ‚Enhanced Protected Mode (EPM)‘ Sandbox sowie zusätzlich einen Weg zur Umgehung des ‚Enhanced Mitigation Experience Toolkit (EMET)‘ in der aktuellen Version 5.5."

Derzeit arbeitet Microsoft an der Behebung der gemeldeten Schwachstellen. Erst wenn entsprechende Updates vorliegen, die die Fehler bereinigen, will Blue Frost Security Details zu dem Exploit und zu den verwendeten Techniken zur Umgehung der Sicherheitsbarrieren veröffentlichen.

Download
Microsoft Security Essentials - Kostenlose Antivirus-Software
Weitere Ankündigungen vom zweiten Tag:
Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Windows 10 Forum

Tipp einsenden