Es ist nicht das erste Mal, dass der unbekannte User SandBoxEscaper Zero-Day-Lücken in Windows 10 freilegt und veröffentlicht, ohne Microsoft davor darüber in Kenntnis zu setzen. Nun hat er es wieder getan, und zwar just zu dem Zeitpunkt, als das Mai-Update für Windows 10 ausgerollt wird. Wie "Ars Technica"
berichtet, hat SandBoxEscaper gleich drei neue Zero-Day-Lücken enthüllt, die Windows 10 bedrohen, diese aber zumindest auf Github veröffentlicht, also unter den Augen von Microsoft.
Bei den ersten beiden Lücken handelt es sich um sogenannte Privilege-Escalation Vulnerabilities im Windows Task Scheduler und im Windows Error Reporting. Die erste Lücke erlaubt es einem Angreifer, System-Rechte auf einem Rechner zu erlangen, die zweite ermöglicht es, normalerweise vor unerlaubten Zugriffen geschützte Dateien zu modifizieren. Die dritte Lücke betrifft den Internet Explorer 11. Sie lässt sich mittels Javascript ausnutzen, indem ein Angreifer entsprechenden Code dazu einsetzt, um die Sandbox des Browsers zu umgehen und Zugriff auf den betroffenen Rechner zu erlangen. Es liegt nun an
Microsoft, die veröffentlichten Lücken schnellstmöglich zu schliessen.
(luc)