Microsoft hat eine Zero-Day-Schwachstelle in
Windows 10 im Sommer nur halbherzig bearbeitet. Laut den Sicherheitsexperten vom Project Zero hat man bereits im September eine erneute Meldung an das Windows-Team gegeben - doch passiert ist seither nichts.
Es geht dabei um eine sogenannte Zero-Day-Schwachstelle, die in verschiedenen Varianten in den jüngeren Windows 10-Versionen Angreifern eine Rechteerweiterung ermöglicht. Ein Angreifer kann im Kernelmodus beliebigen Code ausführen, um zum Beispiel Programme zu installieren, Daten aufzurufen, zu ändern oder zu löschen. Die
Informationen dazu sind unter CVE-2020-0986 hinterlegt.
Der
Patch-Day im Juni 2020 brachte je ein Update für die verschiedenen Windows 10-Versionen, welches das Sicherheitsproblem adressierte. Doch diese Updates brachten nur trügerische Sicherheit, wie Maddie Stone von Googles Project Zero nun öffentlich gemacht hat. Stone hat das Thema jetzt bei Twitter noch einmal erläutert:
Die Änderungen der Patch-Day-Updates brachten demnach nicht die gewünschte Sicherheit, das Problem besteht weiter. Die Sicherheitsexperten vom Project Zero haben im September noch einmal an Microsoft berichtet, dass die Zero-Day-Schwachstelle weiter angreifbar ist.
Update nach der Winterpause
Nachdem seit der letzten Meldung wieder die 90-Tage-Frist verstrichen ist und sich nichts getan hat, wurde die Meldung veröffentlicht. Maddie Stone hatte ein Proof of Concept erstellt und damit nun auch mehr Druck auf Microsoft gemacht, damit die Sicherheitslücke ein für alle Mal geschlossen wird. Bisher hatte das Windows-Team allerdings noch nicht mit einem neuen Patch reagiert. Mit einer weiteren Aktualisierung ist nicht vor dem 6. Januar zu rechnen.
Interessante Artikel und Links rund um die halbjährlichen Windows 10-Updates:
Anmelden
