zurück zum Artikel

Google-Analyse: Microsoft patcht Windows 7/8 teilweise nicht

Google-Analyse: Microsoft patcht Windows 7/8 teilweise nicht

(Bild: pixabay.com)

Forscher von Google haben nachgewiesen, dass Microsoft Sicherheitslücken in Windows 10 behoben hat, die gleichen Lücken in Windows 7 und 8 jedoch offen ließ. Patches kamen erst, als die Veröffentlichung durch Project Zero drohte.

Microsoft patcht identische Bugs in den Windows-Versionen 7, 8 und 10 mit unterschiedlicher Priorität – und braucht bisweilen eine Extra-Aufforderung, sich um die älteren Versionen zu kümmern. Zu dieser Einschätzung gelangte Googles Project-Zero-Team bei einem Binärvergleich [1] zwischen Kernel-Komponenten der drei Windows-Versionen vor und nach dem Einspielen verschiedener Updates.

Die Sicherheitsforscher entdeckten Ende Mai dieses Jahres eine Sicherheitslücke (CVE-2017-8680) [2] in den Windows-Versionen 7 und 8 – und stellten zugleich auch fest, dass der Fehler in Windows 10 bereits zu einem früheren Zeitpunkt beseitigt worden war. Dass Bugs in aktuellen Betriebssystemversionen im Rahmen der Weiterentwicklung "versehentlich" behoben werden, ist an sich nichts Ungewöhnliches. Die Beschaffenheit des nur wenige Code-Zeilen umfassenden Win-10-Patches wies laut Project Zero allerdings darauf hin, dass sich Microsoft des Bugs bewusst war und dennoch zunächst auf das Flicken der älteren Versionen verzichtete. Microsoft beseitigte die Sicherheitslücke in Windows 7 und 8 erst, als die Veröffentlichung drohte. Project Zero verfolgt eine sehr strikte Policy und macht letztlich alle gefundenen Schwachstellen publik.

Dass Microsoft ältere Betriebssystem-Versionen stiefmütterlich behandelt, konnte Project Zero noch anhand zweier weiterer Schwachstellen (CVE-2017-8684 und CVE-2017-8685) untermauern, die es ebenfalls mittels Binärvergleich ausfindig machte. Sie wurden in Windows 7 später gepatcht als in Windows 8 und dann auch noch mit unterschiedlichen Flicken versehen.

Project Zero
Die rot markierten Stellen im Pseudocode zeigen Microsofts CVE-2017-8680-Patch für Windows 10. (Bild: Project Zero)

Als Entschuldigung für die fehlenden Patches könnte man anführen, dass Microsoft das Ausnutzen der drei genannten Bugs durchweg als "wenig wahrscheinlich" einstufte. Das rechtfertigt jedoch nicht die zusätzliche Gefahr, der Nutzer älterer, ungefixter Versionen durch die inkonsistente Patch-Politik ausgesetzt sind. Denn aktuelle Updates stellen einen optimalen Ausgangspunkt für Binärvergleiche dar. Diese wiederum sind mit den richtigen Tools kinderleicht durchführbar, enthüllen sämtliche Code-Modifikationen – und somit auch die angreifbaren Schwachstellen im alten Code. Potenzielle Angreifer müssen dann "nur noch" den passenden Exploit schreiben und haben im schlimmsten Fall unbegrenzt Zeit für dessen Anwendung. (ovw [3])


URL dieses Artikels:
http://www.heise.de/-3852695

Links in diesem Artikel:
[1] https://googleprojectzero.blogspot.de/2017/10/using-binary-diffing-to-discover.html
[2] https://bugs.chromium.org/p/project-zero/issues/detail?id=1267&desc=2
[3] mailto:ovw@heise.de