Kritik: Microsoft hat Windows-Sicherheitslücke nur halbherzig gefixt

Google hat ein "mittelschweres" Sicherheitsproblem in verschiedenen Windows-Versionen öffentlich gemacht, um Nutzer zu warnen. Microsoft hat im gestern veröffentlichten August-Patchday die Schwachstelle laut Google nur halbherzig gefixt. Es sei nur eine unvollständige Korrektur, die Microsoft nun mit den gestrigen Patchday-Updates seinen Nutzern anbietet, kritisiert das Zero Day-Team von Google. Man habe dabei Microsoft im Mai über die Schwachstelle informiert, die es einem potenziellen Angreifer ermöglicht, über Anwendungen die Netzwerkauthentifizierung zu umgehen. Die Schwachstelle selbst sei dabei in einem älteren Windows AppContainer zu suchen. Apps, die Microsoft über den Store ausliefert, sind nicht betroffen, Programme die von anderen Quellen geladen werden, können aber sehr wohl die Sicherheitslücke aufweisen. Patch-DayDer August Patch hat das Problem zwar adressiert, aber laut Google nicht behoben Laut Google kann ein lokaler Angreifer die Lücke theoretisch ausnutzen und quasi über die Hintertür in Firewall-APIs auf Localhost-Dienste zuzugreifen, und sich dort dann einen Systemdienst suchen, der umgangen werden kann. Es gibt zu der Schwachstelle ein Proof-of-Concept (PoC), der zeigt, wie schnell damit erhöhte Privilegien zu erreichen sind - damit hat ein Angreifer dann im Grunde freies Feld auf dem PC des Opfers.

Problem im Mai entdeckt und gemeldet

Google hat die Sicherheitslücke gemeldet und Microsoft die übliche Frist von 90 Tagen eingeräumt, um die Schwachstelle zu beheben. Auch eine weitere Karenzzeit wurde noch gelassen, damit Microsoft einen Fix am Patch-Dienstag im August einführen konnte.

Als "CVE-2020-1509" wurde das Problem nun auch gestern öffentlich in den Release Notes genannt. Es löst laut Google das Problem gar nicht vollständig. Daher hat sich das Sicherheitsteam dazu entschlossen, die Warnung vor der Schwachstelle und den Proof-of-Concept nun öffentlich zu machen. Wenn Microsoft vorbildlich reagieren will, ist also ein möglichst schneller Patchday-Nachschlag, der die Sicherheitslücke dann richtig schließt, erforderlich. Microsoft hält die Schwachstelle für inproblematisch und schrieb nur "Sicherheitslücke ist unwahrscheinlicher".

Infos zum Patch:

  • Behebt ein Problem in Anwendungen der Universal Windows Platform (UWP), das eine Single-Sign-On-Authentifizierung ermöglicht, wenn eine Anwendung nicht über die Enterprise Authentication-Funktionalität verfügt. Mit der Veröffentlichung von CVE-2020-1509 werden UWP-Anwendungen möglicherweise den Benutzer zur Eingabe von Anmeldedaten auffordern.

Laut dem Sicherheitshinweis von Microsoft betrifft das Problem zahlreiche Windows-Versionen, darunter Windows Server 2012, 2016, 2019, Windows RT 8.1, 8.1 und alle Windows 10-Versionen bis hin zur aktuellen Version 2004.

WinFuture Update Pack Für Windows 8.1, Windows 8 und Windows 7 Download Windows 10: Kumulativer Patch Microsoft, Betriebssystem, Windows 10, Windows, Update, Fehler, Bug, Bugs, Windows 10 bugs, Windows 10 Bug, Windows 10 Fehler Microsoft, Betriebssystem, Windows 10, Windows, Update, Fehler, Bug, Bugs, Windows 10 bugs, Windows 10 Bug, Windows 10 Fehler
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:25 Uhr QTshine Solar Powerbank 26800mAh, Externer Akku Ladegerät, Solar Power Bank Pack mit 2 Ausgängen speziell für Aktivitäten im Freien, kompatibel mit Allen Smartphones, Tablets und USB-GerätenQTshine Solar Powerbank 26800mAh, Externer Akku Ladegerät, Solar Power Bank Pack mit 2 Ausgängen speziell für Aktivitäten im Freien, kompatibel mit Allen Smartphones, Tablets und USB-Geräten
Original Amazon-Preis
27,95
Im Preisvergleich ab
?
Blitzangebot-Preis
23,75
Ersparnis zu Amazon 15% oder 4,20

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!