Windows-8-Sicherheitslücke zu verkaufen
Kommentare

Nur wenige Tage nach Veröffentlichung von Windows 8 hat die französische Sicherheitsfirma Vupen schon eine Zero-Day-Sicherheitslücke im Betriebssystem und dem dazugehörigen Browser Internet Explorer

Nur wenige Tage nach Veröffentlichung von Windows 8 hat die französische Sicherheitsfirma Vupen schon eine Zero-Day-Sicherheitslücke im Betriebssystem und dem dazugehörigen Browser Internet Explorer 10 entdeckt. Diese bietet sie nun über Twitter zum Verkauf an den Meistbietenden an:

Durch Kombination mehrerer Schwachstellen des Systems habe man ermöglicht, schädlichen Code über eine Website auszuführen – ein typischer Fall von Remote Code Execution. Involviert in den Vorgang waren Maßnahmen der Adress Space Layout Randomization (ASLR), des Anti-Return Oriented Programming und der Data Execution Prevention (DEP). Mit Adobe Flash habe die Schwachstelle allerdings nichts am Hut.

Vupens CEO Chaouki Bekra zufolge ist Windows 8 aber trotzdem das sicherste Betriebssystem aller Zeiten. Gerade die Notwendigkeit, zur Erzeugung einer Zero-Day Vulnerability mehrere Schwachstellen miteinander zu kombinieren, spräche dafür.

Vupen Security ist ein französisches Unternehmen, das Schwachstellen in Software aufstöbert und anschließend an Firmen und Regierungen verkauft. In die Kritik geraten derartige Dienstleister häufig, weil sie die Sicherheitsprobleme eben nicht den Betroffenen selbst, sondern den Höchstbietenden zugänglich machen. Hätte Vupen beispielsweise die gefundende Lücke nicht zum Verkauf angeboten, sondern Microsoft direkt zugespielt, hätte man dort schnellstmöglich an einer Lösung arbeiten können.

Aber vielleicht ist das ja auch schon geschehen. Das monatliche Sicherheitsupdate, am kommenden Dienstag zum nächsten Mal fällig, behebt nämlich einige Remote-Code-Execution-Lücken in Windows 8 und Windows RT.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -