Google findet Lücke in .NET und verwehrt Microsoft die Ausweitung der Reaktionsfrist
Quelle: Pixabay

Google findet Lücke in .NET und verwehrt Microsoft die Ausweitung der Reaktionsfrist

Das Project Zero Team von Google fand Anfang des Jahres eine Sicherheitslücke im .NET Framework. Trotz mehreren Anfragen auf Fristverlängerungen von Seiten Microsoft wurde diese nach 90 Tagen bekannt gemacht.
23. April 2018

     

Anfang des Jahres fand der Google-Angestellte Forshaw eine Sicherheitslücke in Microsofts .NET Framework, die vergangene Woche öffentlich gemacht wurde. Die ebenfalls veröffentlichte Timeline dokumentiert auch, wie Google aus verschiedenen Gründen nicht auf die Anfragen von Microsoft eingegangen ist, eine Fristverlängerung für die Veröffentlichung der Lücke zu bekommen.

Die Sicherheitslücke in .NET kann, so Google, einzig auf Windows 10 Betriebssystemen mit Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) genutzt werden. Betroffen ist somit Windows 10S mit Device Guard. Ausserdem ist ein Angreifer nur dann in der Lage die Schachstelle ausnützen, wenn er bereits Code auf dem betroffenen Gerät ausführen kann, folglich bereits Zugriff darauf hat. Mit dem neuen Leck steht .NET somit bereits mit drei bekannten Sicherheitslücken da, die bisher noch ungepatched sind.


Google hatte das Problem Mittag Januar 2018 an Microsoft gemeldet und eine Frist von 90 Tagen festgelegt. Wie der Timeline zu entnehmen ist, hatte Mircosoft mehrere Male einen Aufschub für die Veröffentlichung verlangt, da sich die Lösung aufgrund Anhängigkeiten im Code als kompliziert entpuppt hatte. Keine der Anfragen wurde von Google berücksichtigt und die Lücke, pünktlich zum Ablauf der Frist, veröffentlicht.

Auf dem Blog des Google Mitarbeiters ist der Proof of Concept des Hacks für Interessierte herunterzuladen und die Timeline inklusive der Kommunikation mit Microsoft einsehbar. (win)


Weitere Artikel zum Thema

Chrome schliesst 62 Sicherheitslücken mit Version 66

18. April 2018 - Googles Chrome-Browser ist in einer neuen Version erschienen. Darin wurden insgesamt 62 Sicherheitslücken geschlossen.

Meltdown - die Abhilfe wird zum Problem

29. März 2018 - Ein Patch zur Behebung der Prozessor-Sicherheitslücke Meltdown beinhaltet ein noch viel gravierenderes Risiko als der Exploit selbst.

Microsoft bietet 250'000 Dollar Belohnung für neue Spectre-Lücken

16. März 2018 - Microsoft hat ein zeitlich begrenztes Kopfgeld auf das Aufspüren von Spectre- und Meltdown-ähnlichen Sicherheitslücken in Höhe von bis zu 250'000 Dollar ausgesetzt. Das rekordverdächtige Bounty-Programm ist bis Dezember 2018 angesetzt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER