Microsoft bestätigt Windows-Lücke

Microsoft hat in seinem Chief Security Advisor Blog Stellung zu der am vergangenen Dienstag gemeldeten Windows-Lücke genommen. Demnach konnte das Unternehmen nachvollziehen, dass eine speziell präparierte HTML-Seite einen Bluescreen auslöst, wenn sie mit Safari auf einem 64-bit-System geöffnet wird.

Allerdings sei "die Schwachstelle nach derzeitiger Meinung der US-Kollegen nicht dazu geeignet, Windows-Systeme mit Schadsoftware zu infizieren", weshalb das Unternehmen "sehr wahrscheinlich [...] keine Sicherheitsempfehlung zu dieser Schwachstelle veröffentlichen" werde.

Da die Untersuchungen jedoch noch nicht abgeschlossen seien, stehe eine endgültige Entscheidung jedoch noch aus. Auf 32-bit-Systemen konnte Microsoft den Fehler bislang nicht reproduzieren; dies deckt sich mit den Beobachtungen von heise Security. Microsoft steht laut dem Blogeintrag in Kontakt mit Apple, um mehr über die Zusammenhänge des Absturzes zu erfahren.

Der Speicherfehler tritt in der Windows-Systemdatei win32k.sys auf, weshalb nicht auszuschließen ist, dass man ihn auch ohne Safari hervorrufen kann – möglicherweise auch auf 32-bit-Systemen.

Das Sicherheitsunternehmen Secunia hat die Lücke als "hochkritisch" eingestuft, da sie sich möglicherweise zum Einschleusen und Ausführen von Schadcode eignet. Ein Exploit existiert derzeit noch nicht.

Wer am Ende Recht behalten wird, ist derzeit noch nicht abzusehen. Es gab Fälle in der Vergangenheit, in denen Microsoft sein Urteil, dass sich eine Lücke nicht zum Einschleusen von Schadcode eigne, nachträglich widerrufen und doch noch einen Patch anbieten musste – nachdem findige Tüftler einen Exploit veröffentlicht hatten. Sicher ist nur, dass derzeit sowohl Black- als auch Whitehats daran arbeiten dürften, einen passenden Exploit zu entwickelt. (rei)