Thema: Hochkritische Zero-Day-Lücke in Windows

[SiLæncer]

Eine ungepatchte Sicherheitslücke in der 64-bittigen Ausgabe von Windows 7 eignet sich potenziell zum Einschleusen und Ausführen von Schadcode, wie Secunia berichtet. Derzeit gibt es aber nur einen Exploit, der zum Absturz führt.

Der Speicherfehler in der Systemdatei win32k.sys lässt sich etwa durch den Aufruf einer speziell präparierten HTML-Datei mit Safari provozieren. Der Entdecker der Lücke webDEViL demonstriert dies anhand eines Proof-of-Concepts, das er bei Twitter veröffentlicht hat. Die Demo besteht lediglich aus einem iFrame mit einer bestimmten Höhe und führt zu einem Bluescreen.

Es ist nicht auszuschließen, dass man die Lücke auch auf andere Weise ohne Safari ausnutzen kann. Laut webDEViL befindet sich die Schwachstelle in der Funktion NtGdiDrawStream. heise Security konnte das Problem nachvollziehen; die 32-bittigen Ausgaben von Windows sind nicht betroffen. Ob und wann Microsoft die Lücke schließt, ist derzeit nicht bekannt.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat in seinem Chief Security Advisor Blog Stellung zu der am vergangenen Dienstag gemeldeten Windows-Lücke genommen. Demnach konnte das Unternehmen nachvollziehen, dass eine speziell präparierte HTML-Seite einen Bluescreen auslöst, wenn sie mit Safari auf einem 64-bit-System geöffnet wird.

Allerdings sei "die Schwachstelle nach derzeitiger Meinung der US-Kollegen nicht dazu geeignet, Windows-Systeme mit Schadsoftware zu infizieren", weshalb das Unternehmen "sehr wahrscheinlich [...] keine Sicherheitsempfehlung zu dieser Schwachstelle veröffentlichen" werde.

Da die Untersuchungen jedoch noch nicht abgeschlossen seien, stehe eine endgültige Entscheidung jedoch noch aus. Auf 32-bit-Systemen konnte Microsoft den Fehler bislang nicht reproduzieren; dies deckt sich mit den Beobachtungen von heise Security. Microsoft steht laut dem Blogeintrag in Kontakt mit Apple, um mehr über die Zusammenhänge des Absturzes zu erfahren.

Der Speicherfehler tritt in der Windows-Systemdatei win32k.sys auf, weshalb nicht auszuschließen ist, dass man ihn auch ohne Safari hervorrufen kann – möglicherweise auch auf 32-bit-Systemen.

Das Sicherheitsunternehmen Secunia hat die Lücke als "hochkritisch" eingestuft, da sie sich möglicherweise zum Einschleusen und Ausführen von Schadcode eignet. Ein Exploit existiert derzeit noch nicht.

Wer am Ende Recht behalten wird, ist derzeit noch nicht abzusehen. Es gab Fälle in der Vergangenheit, in denen Microsoft sein Urteil, dass sich eine Lücke nicht zum Einschleusen von Schadcode eigne, nachträglich widerrufen und doch noch einen Patch anbieten musste – nachdem findige Tüftler einen Exploit veröffentlicht hatten. Sicher ist nur, dass derzeit sowohl Black- als auch Whiteheads daran arbeiten dürften, einen passenden Exploit zu entwickelt.

Quelle : www.heise.de

[SiLæncer]

Die ungepatchte Sicherheitslücke in der Windows-Systemdatei win32k.sys kann Microsoft auch mit dem Internet Explorer nachvollziehen, wie das Unternehmen in einem Update zu dem gestrigen Blog-Beitrag bekanntgegeben hat. Bislang war nur bekannt, dass der Fehler in Verbindung mit Safari beim Öffnen einer speziell präparierten Webseite auftritt.

Microsoft gelang es, dem Bluescreen "mit Versionen des Internet Explorers [...], die älter sind als die aktuelle Version 9" auf einem 64-bittigen Windows-Rechner zu reproduzieren. Das ist ein Problem, da viele Anwender die unter Windows vorinstallierte Version des Internet Explorer nicht aktualisieren. Im November surften laut Microsoft noch 8,3 Prozent der Internetnutzer mit der IE-Version 6, die vor über 10 Jahren erschienen ist. Microsoft rät seinen Kunden, auf die aktuelle Version 9 umzusteigen.

Das Unternehmen räumt ein, dass "die betroffene Windowsfunktion [...] häufig von Browsern angesprochen" wird. Bislang liegen weder Microsoft noch heise Security Hinweise darauf vor, dass man die Lücke auch auf 32-Bit-Systemen ausnutzen kann. Das Einschleusen von Schadsoftware ist in den Microsoft-Laboren laut dem Blog-Beitrag bislang nicht gelungen.

Aktive Angriffe will das Unternehmen bisher nicht beobachtet haben. Zudem relativierte das Unternehmen die Aussage in der ursprünglichen (inzwischen gelöschten) Fassung des Beitrags, nach der Microsoft "sehr wahrscheinlich [...] keine Sicherheitsempfehlung zu dieser Schwachstelle veröffentlichen" werde. Seit dem Update heißt es vorsichtig, dass derzeit aufgrund der laufenden Untersuchungen noch nicht feststehe, ob es eine Sicherheitsempfehlung geben wird.

Quelle : www.heise.de

[SiLæncer]

Laut einem französischen Sicherheitsunternehmen haben Windows 8 und der Internet Explorer 10 angeblich eine massive Sicherheitslücke. Allerdings wurde diese Meldung von dem Unternehmen Vupen Security verbreitet, das in der Vergangenheit vor allem durch sein dubioses Geschäftsmodell auffiel. Bisher wurde nur bekannt, dass es sich um einen Zero-Day-Exploit handeln soll.

Seine Erkenntnisse bietet das Unternehmen übrigens nur zum Verkauf an. Der CEO von Vupen Security, Chaoui Bekrar, ließ kürzlich über Twitter wissen, dass man in Windows 8 und dem Internet Explorer 10 einen Zero-Day-Exploit gefunden haben will, der das Ergebnis mehrerer Fehler in der Software sei. Angabe, wie man die Lücke gefunden hatte und welche Fehler das sein sollen, machte Bekrar aber nicht, was das ganze etwas undurchsichtig erscheinen lässt. Das französische Unternehmen, dessen Spezialisierung es ist, in Produkten anderer Softwarehersteller nach Sicherheitslücken zu suchen und diese dann nicht etwa den Unternehmen zu melden, sondern an Regierungen und andere Unternehmen teuer weiter zu verkaufen, hält sich sehr bedeckt.

Der ganze Artikel

Quelle : www.gulli.com

[SiLæncer]

Der bei Google angestellte Sicherheitsexperte Tavis Ormandy hat eine Sicherheitslücke in Windows entdeckt, durch den sich alle dem System bekannten Nutzer höchstmögliche Rechte verschaffen können. Statt die Lücke Microsoft zu melden, hat er die Details auf der Security-Mailingsliste Full Disclosure veröffentlicht – einschließlich eines passenden Exploits.

Tavis Ormandy ist in der Security-Szene kein Unbekannter. Der Sicherheitsexperte hat im Laufe der vergangenen Jahre etliche Schwachstellen entdeckt. Schon einige Male hat er den kürzesten Weg gewählt, um die Informationen über die von ihm entdeckten Lücken zu teilen: Full Disclosure, die schnellstmögliche Veröffentlichung, ohne zuvor den Hersteller der verwundbaren Software zu informieren.

Auch Mitte Mai hat sich Ormandy wieder für eine Full Disclosure auf der gleichnamigen Mailingliste entschieden. Nachdem er einen Bug in der Funktion EPATHOBJ::pprFlattenRec des Windows-Kernels entdeckt hatte, schrieb er in seiner Mail an die Liste: "Ich habe viel Freizeit, um an blöden Microsoft-Code zu arbeiten" und bat um Ideen, wie man den Bug erfolgreich ausnutzen kann.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Seit 18 Jahren klafft in Windows eine Sicherheitslücke – und keiner hats gemerkt. Microsoft bietet zwar seit Tagen einen Patch an, Nutzer älterer Versionen bleiben allerdings auf der Strecke. Wer den Patch noch nicht eingespielt hat, sollte das jetzt tun.

Im Netz kursiert ein Exploit, der eine kritische Windows-Schwachstelle ausnutzt, die Microsoft erst vor wenigen Tagen gepatcht hat. Die Tragweite ist immens: Die Lücke betrifft offenbar alle Windows-Versionen seit Windows 95. Bei vielen Versionen ist der Support bereits ausgelaufen, weshalb Microsoft die Lücke dort nicht abdichten wird. Dies trifft insbesondere die Nutzer des nach wie vor verbreiteten Windows XP, das seit April bis auf wenige Ausnahmen nicht mehr mit Updates versorgt wird. Schon durch das Öffnen einer Webseite mit dem Internet Explorer kann man sich Schadcode einfangen. Da auch viele andere Anwendungen intern den IE nutzen, kann es auch Nutzer anderer Browser treffen.

OLE und VBScript

Der wunde Punkt ist die OLE-Schnittstelle von Windows, durch die Programme untereinander Daten teilen können; etwa, um eine Excel-Tabelle in Word einzufügen. Durch einen Integer-Überlauf in der dazugehörigen Datei OleAut32.dll können Angreifer in Kombination mit Visual Basic Script (VBScript) Schadcode ins System einschleusen. Ausnutzen lässt sich die Lücke über den Internet Explorer, welcher der einzige aktuelle Browser ist, der aus Kompatiblitätsgründen noch VBScript unterstützt.

Lücke ist 18 Jahre alt

Entdeckt haben die Lücke die Sicherheitsforscher von IBMs X-Force-Team. Die Forscher geben an, die Lücke bereits im Mai 2014 an Microsoft gemeldet zu haben, einschließlich eines funktionsfähigen Proof-of-Concept. Microsoft hat sich mit dem Patchen also ein halbes Jahr Zeit gelassen. Die Lücke klafft offenbar bereits seit 18 Jahren in Windows: Windows 95 mit dem Internet Explorer 3 ist die erste anfällige Konstellation. Mit dem IE3 hat Microsoft die VBScript-Unterstützung eingeführt.

Risiko XP

Wer immernoch Windows XP unterwegs ist, der sollte spätestens jetzt einen Umstieg auf ein Betriebssystem angehen, das noch mit Sicherheitsupdates versorgt wird. XP entwickelt sich in puncto Sicherheit mehr und mehr zu einem Schweizer Käse. Seit Ablauf des Support macht Microsoft keine Angaben mehr dazu, ob gepatchte Sicherheitslücken in neuen Windows-Versionen auch XP betreffen. Im Zweifel muss man davon ausgehen.

Patch-Nachschub

Durch ein Upgrade auf Vista wird man voraussichtlich bis zum 11. April 2017 mit Patches versorgt, dabei bleiben Programme und Einstellungen in der Regel erhalten. Die aktuelle Version 8.1 will Microsoft noch bis zum 10. Januar 2023 versorgen. Wer eine unterstützte Windows-Version einsetzt, sollte umgehend sicherstellen, dass alle Microsoft-Patches installiert sind. An seinem November-Patchday hat Microsoft neben der oben beschriebenen Lücke noch viele weitere geschlossen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Exploit-bringt-Nutzer-aller-Windows-Versionen-in-Gefahr-2457372.html

[SiLæncer]

Tavis Ormandy und Natalie Silvanovich haben nach eigenen Angaben eine der schlimmsten Windows-Lücken der letzten Zeit entdeckt. Sie betrifft Standardinstallationen und soll sich zur Konstruktion eines sich selbst verbreitenden Wurms eignen.

Zwei Sicherheitsforscher entdeckten offenbar eine dramatische Schwachstelle in Windows: Via Twitter verkündeteten Sie, dass sie wahrscheinlich "die schlimmste Code-Ausführungs-Lücke der letzten Zeit" gefunden haben. Derart vollmundige Formulierungen sind erst mal nichts Ungewöhnliches und kein Grund zur Panik – in diesem Fall haben die Äußerungen aber besonderen Gewicht.

Denn hinter den Tweets stecken Tavis Ormandy und Natalie Silvanovich aus Googles Security-Spezialeinheit Project Zero. Ormandy ist seit Jahren für seine spektakulären Funde bekannt, Silvanovich hat unter anderem Lücken in den auf den Samsung-Smartphones vorinstallierten Hersteller-Apps aufgetan.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Der Begriff "offenbar" ist hier absolut irreführend, weil eben außer einer wilden Behauptung GAR NICHTS offenbart wurde.

Ohne irgendwelche Hinweise auf Sitz der Schwachstelle und ggf. mögliche Abwehrmöglichkeiten ist diese Meldung nicht mehr als sinnlose Panikmache.
Immerhin geht es noch nicht um tatsächliche, sondern um angeblich mögliche Angriffe.

Wie sollte sich denn ein jetzt schon sehr besorgter Nutzer verhalten?
- Betriebssystem wechseln? Man nenne mir bitte ein einziges unangreifbares und damit sicheres Betriebssystem, mit dem sich trotzdem vernünftig arbeiten lässt...
- Offline gehen, bis es Entwarnung per Fernsehnachrichten oder Zeitung gibt?
- Permanent auf heise.de auf Entwarnung oder Lösung lauern? Das könnte deren Servern Schwierigkeiten bereiten.
Am besten so lange die Luft anhalten... 

Was hilft eigentlich gegen grottenschlechten Journalismus?

Jürgen

[Jürgen]

Weiter geht's dann wohl hier:
https://www.dvbcube.org/index.php?topic=6442.msg247832#msg247832

bzw. im Detail hier:
https://www.heise.de/newsticker/meldung/Dramatische-Sicherheitsluecke-in-Virenschutz-Software-von-Windows-geschlossen-3706615.html

Jürgen