Ein Ausnutzen der Schwachstelle soll nur in Verbindung mit einer bereits geschlossenen Flash-Lücke funktionieren. Microsoft kritisiert Google für die frühe Offenlegung der Lücke.

Im Zuge des Patchdays am kommenden Dienstag will Microsoft eine Zero-Day-Lücke in Windows schließen. Das teilt das Unternehmen in einem Blog-Beitrag mit. Aktuell soll die Hacker-Gruppe Strontium die Lücke für gezielte Angriffe ausnutzen. Dabei stehen aber keine Privat-Nutzer im Fadenkreuz. Die Gruppe habe es vielmehr unter anderem auf militärische und wirtschaftliche Einrichtungen abgesehen.

Ein erfolgreicher Übergriff sei nur in Kombination mit einer kürzlich geschlossenen Flash-Lücke möglich, erläutert Microsoft. Davon sollen die Versionen Windows Vista bis Windows 10 inklusive Anniversary Update bedroht sein.

Gelingt eine Attacke, kann ein Angreifer aus der Sandbox bestimmter Webbrowser ausbrechen und eine Hintertür im System verankern. Microsoft versichert, dass Edge davor gefeit sein soll. Zudem schütze der Device Guard andere Webbrowser vor einem derartigen Übergriff. Auch die Advanced Threat Protection (ATP) vom Windows Defender ab Windows 10 Enterprise verspricht laut Microsoft Schutz.

Kritik an Google

Microsoft ist von Googles Entscheidung, die Sicherheitslücke frühzeitig offenzulegen, enttäuscht. Das verstärke letztlich das Risiko für Kunden, kritisiert Windows-Chef Terry Myerson gegenüber der dpa. Normalerweise veröffentlichen Sicherheitsforscher erst Details zu Lücken (responsible disclosure), wenn es bereits Sicherheitspatches gibt.

Google sieht das in diesem Fall anders und verweist auf eigene Richtlinien für kritische Schwachstellen, die aktiv ausgenutzt werden und für die es noch keine Sicherheitspatches gibt. Damit wollen sie die Betroffenen innerhalb von sieben Tagen zu schnellem Handeln zwingen. (des)