Microsoft hat, für das Unternehmen ungewohnterweise, eine kritische Sicherheitslücke nicht etwa in Windows, sondern im Google-Betriebssystem ChromeOS gefunden und beschrieben. Die Redmonder haben
Google bereits im April 2022 über das Leck informiert, und es wurde relativ rasch gestopft: Mit der ChromeOS-Version vom 15. Juli wurde das Problem ausgemerzt.
Micorosoft selbst hat das Publikum kürzlich im
Security-Blog über die ChromeOS-Schwachstelle informiert. Es handelt sich demnach um ein
D-Bus-Problem, das in ähnlicher Form schon bei Linux identifiziert wurde. Das Leck trägt die CVE-Nummer
CVE-2022-2587 und ist mit einem CVSS-Score von 9.8 hochkritisch. Angreifer können auf ungepatchten ChromeOS-Systemen einen Denial-of-Service auslösen oder sogar Remote-Code-Execution-Angriffe starten.
Wie
Microsoft weiter betont, zeigt die entdeckte Schwachstelle, dass ein kontinuierliches Monitoring der Sicherheit von ChromeOS- und generell von allen Cross-Platform-Systemen unabdingbar ist. Dies auch deshalb, weil sich mit dem vor Kurzem freigegebenen ChromeOS Flex manche Legacy-PCs und -Macs quasi in Chromebooks umwandeln lassen. Und wie es sich gehört, preist der Hersteller für das Monitoring von nicht gemanagten Geräten und das Erkennen von verdächtigem Netzwerkverkehr mit den Device Discovery Services von Microsoft Defender for Endpoints ein hauseigenes Produkt an.
(ubi)
