Kritik: Microsoft hat Windows-Sicherheitslücke nur halbherzig gefixt

Google hat ein "mittelschweres" Sicherheitsproblem in verschiedenen Windows-Versionen öffentlich gemacht, um Nutzer zu warnen. Microsoft hat im gestern veröffentlichten August-Patchday die Schwachstelle laut Google nur halbherzig gefixt. Es sei nur eine unvollständige Korrektur, die Microsoft nun mit den gestrigen Patchday-Updates seinen Nutzern anbietet, kritisiert das Zero Day-Team von Google. Man habe dabei Microsoft im Mai über die Schwachstelle informiert, die es einem potenziellen Angreifer ermöglicht, über Anwendungen die Netzwerkauthentifizierung zu umgehen. Die Schwachstelle selbst sei dabei in einem älteren Windows AppContainer zu suchen. Apps, die Microsoft über den Store ausliefert, sind nicht betroffen, Programme die von anderen Quellen geladen werden, können aber sehr wohl die Sicherheitslücke aufweisen. Patch-Day

Der August Patch hat das Problem zwar adressiert, aber laut Google nicht behoben Laut Google kann ein lokaler Angreifer die Lücke theoretisch ausnutzen und quasi über die Hintertür in Firewall-APIs auf Localhost-Dienste zuzugreifen, und sich dort dann einen Systemdienst suchen, der umgangen werden kann. Es gibt zu der Schwachstelle ein Proof-of-Concept (PoC), der zeigt, wie schnell damit erhöhte Privilegien zu erreichen sind - damit hat ein Angreifer dann im Grunde freies Feld auf dem PC des Opfers.

Problem im Mai entdeckt und gemeldet

Google hat die Sicherheitslücke gemeldet und Microsoft die übliche Frist von 90 Tagen eingeräumt, um die Schwachstelle zu beheben. Auch eine weitere Karenzzeit wurde noch gelassen, damit Microsoft einen Fix am Patch-Dienstag im August einführen konnte.

Als "CVE-2020-1509" wurde das Problem nun auch gestern öffentlich in den Release Notes genannt. Es löst laut Google das Problem gar nicht vollständig. Daher hat sich das Sicherheitsteam dazu entschlossen, die Warnung vor der Schwachstelle und den Proof-of-Concept nun öffentlich zu machen. Wenn Microsoft vorbildlich reagieren will, ist also ein möglichst schneller Patchday-Nachschlag, der die Sicherheitslücke dann richtig schließt, erforderlich. Microsoft hält die Schwachstelle für inproblematisch und schrieb nur "Sicherheitslücke ist unwahrscheinlicher".

Infos zum Patch:

Behebt ein Problem in Anwendungen der Universal Windows Platform (UWP), das eine Single-Sign-On-Authentifizierung ermöglicht, wenn eine Anwendung nicht über die Enterprise Authentication-Funktionalität verfügt. Mit der Veröffentlichung von CVE-2020-1509 werden UWP-Anwendungen möglicherweise den Benutzer zur Eingabe von Anmeldedaten auffordern.

Laut dem Sicherheitshinweis von Microsoft betrifft das Problem zahlreiche Windows-Versionen, darunter Windows Server 2012, 2016, 2019, Windows RT 8.1, 8.1 und alle Windows 10-Versionen bis hin zur aktuellen Version 2004.

WinFuture Update Pack Für Windows 8.1, Windows 8 und Windows 7 Download Windows 10: Kumulativer Patch

Microsoft, Betriebssystem, Windows 10, Windows, Update, Fehler, Bug, Bugs, Windows 10 bugs, Windows 10 Bug, Windows 10 Fehler

Diese Nachricht empfehlen

Kommentieren6

Weitere Nachrichten zum Thema Windows Update führt auch ungeprüft Schadcode auf Systemen ausNutzer von Windows 10 Version 2004 und 2009 melden Update-FehlerAlle Infos zum Microsoft August Patch-Day für WindowsAlle Infos zum Microsoft Juli Patch-Day für WindowsZoom: Neue Zero-Day-Schwachstelle bestätigt, Patch angekündigtRedmond, we have a problem: Patch gegen Probleme sorgt für Probleme