Kritische Lücken in Windows 8 und IE 10

Wer Sicherheitslücken in Software-Produkten entdeckt, hat mehrere Möglichkeiten sein Wissen zu verwerten. Kriminell Veranlagte könnten massenhaft PCs infizieren und mit Botnetzen viel Geld verdienen. Ehrliche Menschen informieren den Hersteller und erhalten mit Glück sogar eine Belohnung. Wer sich darauf nicht verlassen will, kann die Informationen auch verkaufen. Dass man darauf sogar ein Geschäft aufbauen kann, beweist die französische Sicherheitsfirma Vupen.

Vupen hat nach eigenen Angaben mehrere Sicherheitslücken in Windows 8 und im Internet Explorer 10 entdeckt und bereits einen Angriffscode (Exploit) entwickelt, über den sich die Schwachstellen ausnutzen lassen. Das hält das Unternehmen keineswegs geheim und verkündet die Entdeckung stolz auf Twitter. Demnach lassen sich über die Sicherheitslücken mehrere Schutzfunktionen aushebeln. Dazu zählen Adressverwürfelung (ASLR), Datenausführungsverhinderung (DEP, Data Execution Prevention) und ROP-Schutz (Return Oriented Programming). Angreifer sollen die schützende Sandbox des Internet Explorers umgehen und damit beliebigen Schadcode einschleusen können. Der Flash Player soll an den Schwachstellen nicht beteiligt sein.

Obwohl die Lücken kritisch sind, will Vupen keine Informationen an Microsoft weitergeben. Stattdessen möchte das Unternehmen den Exploit-Code verkaufen. Zu den möglichen Kunden zählen Regierungen und Ermittlungsbehörden.

Fazit: Da Microsoft keine Hinweise auf die Lücken erhält, ist nicht abzusehen, wann diese per Update geschlossen werden. Für Microsoft ist das kurz nach Markteinführung von Windows 8 eine ärgerliche Situation. Ein Betriebssystem mit ernsten Sicherheitslücken erhöht nicht gerade das Vertrauen der Kunden. Es ist jedoch zu vermuten, dass die Entwicklung eines Exploits umfassende Kenntnisse erfordert. Solange keine Details über die Sicherheitslücken an die Öffentlichkeit dringen, ist die tatsächliche Bedrohung daher eher als gering einzuschätzen.