Windows Lücke ermöglicht Adminrechte

TempestX1

TempestX1

Software-Overclocker(in)
Windows Lücke ermöglicht Adminrechte

Eine Lücke in Windows ermöglicht es eingeschränkten Nutzern, aber auch Software wie z.B. Spy- oder Adware, sich mit Adminrechten in das System zu klinken.
Dadurch hätten z.B. die Programme die Möglichkeit, obwohl diese nur mit eingeschränkten Rechte laufen (z.B. weil man einem Nutzer generell nicht Adminrechte anbietet um unabsichtliche Installation von Ad-/Spyware zu blockieren), sich ohne eine Warnmeldung von Microsofts UAC, automatisch an Adminrechte zu kommen und weitere Schadsoftware (nach)zu installieren, ohne das eine Interaktion des Users nötig ist.

Die Lücke wurde bereits vor über 90 Tage an Microsoft gemeldet, jedoch erschien bis heute noch kein Patch der die Lücke schloss. Nun hat der Finder der Lücke, Google, die Lücke öffentlich gemacht, da die Responsible Disclosure Frist abgelaufen ist.
Die Lücke wurde bereits für Windows 8.1 bestätigt, jedoch könnten auch ander Windowsversionen betroffen sein. Laut MS arbeite man gerade an einen Patch.

Quelle
Google veröffentlicht Exploit fü Zero-Day-Lücke in Windows | heise Security
 
AW: Windows Lücke ermöglicht Adminrechte

was willste denn von jemanden erwarten der mit der NSA zusammen arbeitet......ein sicheres unangreifbares system.....ach nö.......:devil:
 
AW: Windows Lücke ermöglicht Adminrechte

SphinxBased schrieb:
was willste denn von jemanden erwarten der mit der NSA zusammen arbeitet......ein sicheres unangreifbares system.....ach nö.......:devil:
Zum Vergrößern anklicken....

Kein System ist unangreifbar, auch der heilige Gral Linux nicht.

Das MS erst jetzt reagiert ist trotzdem ziemlich bescheiden (um nicht ein anderes Wort dafür zu nutzen).
 
AW: Windows Lücke ermöglicht Adminrechte

Einfach das machen was auf Heise steht
von heise siehe LINK ganz oben schrieb:
"Schützen kann man sich derzeit nur, indem man die Benutzerkontensteuerung im Wartungscenter von Windows auf die höchste Stufe setzt "
Zum Vergrößern anklicken....

Warum MS so lange braucht? Die werden schon daran Arbeiten, laut Foreshaw sitzt der bug in der ahcache.sys. Das kann viele anhängikeiten nach sich ziehen usw. Anschließend muss man viel testen, das kostet wiederum viel Zeit, wir wollen ja nicht wieder so ein root/CA fiasko was ja noch immer nicht zu 100% bereinigt wurde!

Die "Paraniode" Möglichkeit: MS möchte den Geheimdiensten ein bisschen Zeit geben um den Exploit auch ausgibig auszukosten ;)
 
Zuletzt bearbeitet:
AW: Windows Lücke ermöglicht Adminrechte

razzor1984 schrieb:
Warum MS so lange braucht? Die werden schon daran Arbeiten, laut Foreshaw sitzt der bug in der ahcache.sys. Das kann viele anhängikeiten nach sich ziehen usw.
Zum Vergrößern anklicken....
Nichtsdestotrotz sind drei Monate ein Unding. Wobei Microsoft da längst nicht alleine ist - Apple und Adobe etwa sind da auch nicht besser, wenn es geht, Bugfixing auf die lange Bank zu schieben. Aber solange man Softwarehersteller nicht haftbar machen kann bei schweren Sicherheitslücken, wird sich da wahrscheinlich leider nicht viel ändern.

MfG Jimini
 
AW: Windows Lücke ermöglicht Adminrechte

Da es sich "nur" um eine Möglichkeit handelt, hinter dem Rücken des Anwenders höhere Rechte zu erlangen, und auch das nur, wenn man UAC aus- oder falsch eingestellt hat, sieht MS das Risiko wohl eher gering.

Die SW muss ja trotzdem erst mal auf dem Rechner unter dem Kontext des Anwenders zur Ausführung kommen. Und wenn es schon so weit ist, ist m.E. eh schon alles zu spät. Da ist diese Lücke eine willkommene Erleichterung, wirklich gebraucht wird sie für einen Angriff aber nicht.
 
AW: Windows Lücke ermöglicht Adminrechte

Jimini schrieb:
Nichtsdestotrotz sind drei Monate ein Unding. Wobei Microsoft da längst nicht alleine ist - Apple und Adobe etwa sind da auch nicht besser, wenn es geht, Bugfixing auf die lange Bank zu schieben.
Zum Vergrößern anklicken....

Apple lebt noch in den 90ern, Malicious Software up das kenn ich nicht. Die sind mit den heutige speed von zero days und löcher im OS ,quasi total überfordert.
MS, kennt die Probelmatik und schleppt balast aus 3.11er Zeite noch immer mit herum. Der Kernel wird glaubich nie bereinigt werden :lol:
Jedoch war MS immer von der Malicious Software Problematik betroffen, da hat sich ja seit XP eh schon viel getan......besser kann es jedoch noch immer werden!
Adobe Flash, der Schweizer Käse unter den Webtools. Streng genommen müsste flash auf jeglicher Webpage gesperrt werden, HTML5 wird es hoffendlich beschleunigen.


Jimini schrieb:
Aber solange man Softwarehersteller nicht haftbar machen kann bei schweren Sicherheitslücken, wird sich da wahrscheinlich leider nicht viel ändern.
Zum Vergrößern anklicken....

Bin dabe, wenn man opensource software herausnimmt !
 
AW: Windows Lücke ermöglicht Adminrechte

razzor1984 schrieb:
Bin dabe, wenn man opensource software herausnimmt !
Zum Vergrößern anklicken....
Ein genereller Ausschluss von OSS was wäre meines Erachtens der falsche Weg. Kernkomponenten der modernen Onlinekommunikation setzen auf Open-Source-Software - man denke nur mal an Postfix, Apache, PHP, OpenSSL, Firefox, Thunderbird sowie dutzende Datei- und Betriebssysteme.
Der Knackpunkt wäre hier aber, einen Weg zu finden, Programmierer für grobe Fahrlässigkeiten haftbar zu machen und gleichzeitig keine Hemmschwelle für die Produktion von OSS zu erzeugen.

MfG Jimini
 
AW: Windows Lücke ermöglicht Adminrechte

Jimini schrieb:
Ein genereller Ausschluss von OSS was wäre meines Erachtens der falsche Weg. Kernkomponenten der modernen Onlinekommunikation setzen auf Open-Source-Software - man denke nur mal an Postfix, Apache, PHP, OpenSSL, Firefox, Thunderbird sowie dutzende Datei- und Betriebssysteme. Der Knackpunkt wäre hier aber, einen Weg zu finden, Programmierer für grobe Fahrlässigkeiten haftbar zu machen und gleichzeitig keine Hemmschwelle für die Produktion von OSS zu erzeugen. MfG Jimini
Zum Vergrößern anklicken....
Wie soll man Programmierer bei Opensource software "Haftbar" machen. Wenn das eintritt dann wird es keine Opensource software mehr geben. Wenn ich zb code und der community etwas zurück gebe, kann ein fehler/bug passieren.(Man hat an hartbleed gesehen ,dass es eher mehr eine schlampigkeit war, und dass Default alle on nicht das wahre ist....) So jetzt würde ich für diesen FEHLER dann auch haftbar gemacht werden? Dann lass ich es gleich und entwickel es bei einer Firma, die im Schadensfall alls erstes dafür gerade steht. Ob die sich die dann im Rechtsweg an mich regreesiert? Da muss schon ne arge Farlässigkeit mir unterstelllt werden. Das einzige was ich mir vorstellen kann wie es funktionieren könnnnte: Firma X (profit orientiert) - nutzt fast auschließlich Opensource, diese muss selber aus eigener Kraft festellen ob die software bugfree ist und gegen Attacken standhält. Vielleicht auch selber Penetration testing machen.....(Spenden an die entwickler und vielleicht auch sich mit diesen mal zusammensetzten .... WISSSSENAUSTAUSCH) So nur was wird in echt passieren, jeder Firma wird sich im Schadensfall einfach auf die Opensource Community stürzen und sagen, buhh die hättens wissen müssen.Die software kommt ja von euch, wir haben nur den code von euch implementiert! Es wird schwer werden in zukunft den spagat da zu erwischen. Immer hin ist der Open SSL code jetzt schon aufgeräumter, und geforked wurde er auch schon x mal ! Grüße Razzor
 
AW: Windows Lücke ermöglicht Adminrechte

razzor1984 schrieb:
Wie soll man Programmierer bei Opensource software "Haftbar" machen. Wenn das eintritt dann wird es keine Opensource software mehr geben.
Zum Vergrößern anklicken....
Exakt da liegt ja das Dilemma. So hochentwickelt OSS heutzutage auch ist - Fehler passieren auch hier. Bei Heartbleed war es - wenn ich mich recht entsinne - besonders unglücklich, weil der für den folgenschweren Fehler verantwortliche Entwickler die Heartbeat-Funktionalität während seines Studiums quasi im Alleingang geschrieben hat. Und hier zeigt sich ein generelles Problem, nämlich das, dass OSS-Projekte oftmals völlig unterfinanziert und unterbesetzt sind, weil sie eben den Nerv der Gratismentalität vieler User treffen. Hier muss sich etwas ändern. Und damit meine ich nicht, dass OSS etwas kosten muss, sondern dass die Bereitschaft seitens der User, auch mal was zu spenden, zunehmen muss.

Wie man die Entwickler dann zu mehr Verantwortung bringt / zwingt, ist ein Problem, für das ich aktuell selbst noch keine Antwort habe. Klar ist aber, dass ein einzelner Entwickler anders behandelt werden muss als Firmen.

MfG Jimini
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Adobe rät zum Update von Flash - Sicherheitslücke erlaubt ausführen von Schadcode
Antworten
6
Aufrufe
2K
Hornissentreiber
H
F
Adobe Flash erlaubt heimliche Installation von (Erpressungs-) Trojaner
2
Antworten
34
Aufrufe
4K
-Metallica-
M
be-le
[Lesertest] - MSI MPG X570 Gaming Edge Wifi + Radeon RX 5700 XT Gaming X
Antworten
17
Aufrufe
7K
Bandicoot
Bandicoot
TempestX1
Erneut Zero-Day Lücken in Adobe Flash gesichtet - Update: Patch verfügbar
Antworten
19
Aufrufe
2K
HeinzNurgmann
H
TempestX1
Microsofts Workaround für Freak kann Windows Update lahmlegen
Antworten
0
Aufrufe
1K
TempestX1
TempestX1
Oben Unten
Zurück