Anfang des Jahres fand der Google-Angestellte Forshaw eine Sicherheitslücke in Microsofts .NET Framework, die vergangene Woche öffentlich gemacht wurde. Die ebenfalls veröffentlichte Timeline dokumentiert auch, wie Google aus verschiedenen Gründen nicht auf die Anfragen von
Microsoft eingegangen ist, eine Fristverlängerung für die Veröffentlichung der Lücke zu bekommen.
Die Sicherheitslücke in .NET kann, so
Google, einzig auf Windows 10 Betriebssystemen mit Benutzermodus-Codeintegrität (User Mode Code Integrity, UMCI) genutzt werden. Betroffen ist somit Windows 10S mit Device Guard. Ausserdem ist ein Angreifer nur dann in der Lage die Schachstelle ausnützen, wenn er bereits Code auf dem betroffenen Gerät ausführen kann, folglich bereits Zugriff darauf hat. Mit dem neuen Leck steht .NET somit bereits mit drei bekannten Sicherheitslücken da, die bisher noch ungepatched sind.
Google hatte das Problem Mittag Januar 2018 an Microsoft gemeldet und eine Frist von 90 Tagen festgelegt. Wie der Timeline zu entnehmen ist, hatte Mircosoft mehrere Male einen Aufschub für die Veröffentlichung verlangt, da sich die Lösung aufgrund Anhängigkeiten im Code als kompliziert entpuppt hatte. Keine der Anfragen wurde von Google berücksichtigt und die Lücke, pünktlich zum Ablauf der Frist, veröffentlicht.
Auf dem Blog des Google Mitarbeiters ist der Proof of Concept des Hacks für Interessierte herunterzuladen und die Timeline inklusive der Kommunikation mit Microsoft
einsehbar.
(win)