Aktuell sollen Angreifer eine als kritisch eingestufte Sicherheitslücke in Windows aktiv ausnutzen, warnen Sicherheitsforscher von Google. Eigenen Angaben zufolge haben sie Microsoft vor einer Woche darüber unterrichtet, bis jetzt ist aber noch kein Sicherheitspatch erschienen.

Normalerweise halten sich Sicherheitsforscher an einen Kodex und legen Sicherheitslücken verantwortungsvoll offen (responsible disclosure). Dabei tauschen sie sich vorab mit den Betroffenen aus und veröffentlichen erst Details zu einer Lücke, wenn ein Update bereit steht. Das kann schon mal 60 Tage dauern.

Ausnahme

In diesem Fall beruft sich Google auf seine eigene Richtlinie für kritische Schwachstellen, die aktiv ausgenutzt werden und für die es noch keine Sicherheitspatches gibt. Diese sogenannten Zero-Day-Lücken erfordern schnelleres Handeln und Google räumt Betroffenen einen Zeitraum von einer Woche ein. Auch Adobe unterrichteten sie über eine kritische Schwachstelle in Flash. Das entsprechende Notfall-Update erschien vergangene Woche.

Nutzen Angreifer die Lücke in Windows aus, sollen sie sich lokal höhere Rechte erschleichen können, um so aus der Sandbox eines Webbrowsers auszubrechen. Ausgangspunkt soll dabei ein bestimmter Systemaufruf über win32k.sys sein. Googles Chrome soll dafür nicht anfällig sein.

Microsofts Antwort auf eine Anfrage von heise Security steht noch aus. (des)