Google findet Lücke in .NET und verwehrt Microsoft die Ausweitung der Reaktionsfrist

Google findet Lücke in .NET und verwehrt Microsoft die Ausweitung der Reaktionsfrist

Google findet Lücke in .NET und verwehrt Microsoft die Ausweitung der Reaktionsfrist

(Quelle: Pixabay)
23. April 2018 -  Das Project Zero Team von Google fand Anfang des Jahres eine Sicherheitslücke im .NET Framework. Trotz mehreren Anfragen auf Fristverlängerungen von Seiten Microsoft wurde diese nach 90 Tagen bekannt gemacht.
Anfang des Jahres fand der Google-Angestellte Forshaw eine Sicherheitslücke in Microsofts .NET Framework, die vergangene Woche öffentlich gemacht wurde. Die ebenfalls veröffentlichte Timeline dokumentiert auch, wie Google aus verschiedenen Gründen nicht auf die Anfragen von Microsoft eingegangen ist, eine Fristverlängerung für die Veröffentlichung der Lücke zu bekommen.

Die Sicherheitslücke in .NET kann, so Google, einzig auf Windows 10 Betriebssystemen mit Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) genutzt werden. Betroffen ist somit Windows 10S mit Device Guard. Ausserdem ist ein Angreifer nur dann in der Lage die Schachstelle ausnützen, wenn er bereits Code auf dem betroffenen Gerät ausführen kann, folglich bereits Zugriff darauf hat. Mit dem neuen Leck steht .NET somit bereits mit drei bekannten Sicherheitslücken da, die bisher noch ungepatched sind.

Google hatte das Problem Mittag Januar 2018 an Microsoft gemeldet und eine Frist von 90 Tagen festgelegt. Wie der Timeline zu entnehmen ist, hatte Mircosoft mehrere Male einen Aufschub für die Veröffentlichung verlangt, da sich die Lösung aufgrund Anhängigkeiten im Code als kompliziert entpuppt hatte. Keine der Anfragen wurde von Google berücksichtigt und die Lücke, pünktlich zum Ablauf der Frist, veröffentlicht.

Auf dem Blog des Google Mitarbeiters ist der Proof of Concept des Hacks für Interessierte herunterzuladen und die Timeline inklusive der Kommunikation mit Microsoft einsehbar. (win)
Jetzt kaufen im Microsoft Store
Weitere Artikel zum Thema
 • Chrome schliesst 62 Sicherheitslücken mit Version 66
 • Meltdown - die Abhilfe wird zum Problem
 • Microsoft bietet 250'000 Dollar Belohnung für neue Spectre-Lücken

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2018/07
Schwerpunkt: Unified Communication
• Der Wunsch als Vater des Gedankens
• Viel Potential mobiler UC-Lösungen bleibt ungenutzt
• Digitale Assistenten für smarte Meetings
• Marktübersicht: Die Telefonanlage wird virtuell
• Unternehmens­kommunikation in Zeiten von All IP
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER