Google macht ungepatchte Schwachstelle in Windows AppContainer öffentlich

James Forshaw, Sicherheitsforscher bei Googles Project Zero, hat eine Schwachstelle im Windows AppContainer entdeckt. Die Sicherheitsfunktion soll Anwendungen in einem geschlossenen Bereich ausführen und sicherstellen, dass sie nur auf bestimmte Ressourcen zugreifen – Forshaw zufolge lassen sich diese Einschränkungen jedoch umgehen, wie SecurityWeek berichtet.

In einem Blogeintrag beschreibt er das Zusammenspiel von Windows Firewall und AppContainer. “Anwendungen, die in einem AppContainer implementiert sind, können nicht gehackt werden, um bösartige Aktionen außerhalb der begrenzten zugewiesenen Ressourcen zu ermöglichen”, zitiert er dabei aus einer offiziellen Dokumentation des AppContainer.

Seine Erkenntnisse teilte er demnach bereits Anfang Juli mit Microsoft. Der Softwarekonzern soll ihm jedoch zehn Tage später mitgeteilt haben, dass kein Update für die Schwachstelle geplant sei, dass sie sich nur ausnutzen lassen, nach der AppContainer bereits kompromittiert sei.

Als Folge machte Forshaw seinen Fehlerbericht inklusive Beispielcode für einen Exploit bereits am 19. Juli öffentlich. Kurz bevor der Forscher seinen detaillierten Blogeintrag zu der Anfälligkeit inklusive veröffentlichen konnte, teilte Microsoft ihm mit, dass es nun doch einen Patch für die Sicherheitslücke entwickeln werde. Ende vergangener Woche machte Forshaw dann auch seine technische Analyse der Schwachstelle für die Allgemeinheit zugänglich.

Eigentlich sehen Googles eigene Regeln für einen verantwortungsvollen Umgang mit Sicherheitslücken vor, dass vertrauliche Fehlerberichte bis zur Freigabe eines Patches durch den Hersteller unter Verschluss bleiben. Sollte ein Hersteller allerdings nicht innerhalb von 90 Tagen sowie einer möglichen Nachfrist einen Patch bereitstellen, behält sich Google das Recht vor, eine Anfälligkeit auch ohne verfügbares Update zu veröffentlichen. Im konkreten Fall beruft sich Forshaw darauf, dass Microsoft zwischenzeitlich die Entwicklung eines Fixes abgelehnt hatte, was Google als weitere Ausnahme für eine frühzeitige Veröffentlichung ansieht.

Wann ein Patch zur Verfügung stehen wird, ist nicht bekannt. Auf Nachfrage von SecurityWeek teilte Microsoft lediglich mit, es prüfe die Situation und unternehme als Notwendige, um seine Kunden zu schützen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aktives Scannen: den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis…

1 Stunde ago

Covid-19-Impfkampagne: Digitale Koordination von Impfterminen

Kassenärztliche Vereinigung Schleswig-Holstein setzt auf Online-Portal mit Oracle-Technologie.

3 Stunden ago

Allianz Risk Barometer 2022: Cyberangriffe weltweites Top-Risiko für Unternehmen

Elfte Umfrage der Allianz: Cyber, Betriebsunterbrechung und Naturkatastrophen sind weltweit die drei größten Geschäftsrisiken in…

1 Tag ago

Worauf es bei der Banken-IT besonders ankommt

Finanzinstitute unterliegen strengen Auflagen, wenn es um die Digitalisierung geht. Doch der Finanzbereich kommt an…

1 Tag ago

Patentstreit zwischen Apple und Ericsson eskaliert

Apple reagiert auf Ericssons Klagen mit einer eigenen ITC-Beschwerde. Das Unternehmen aus Cupertino bekundet aber…

4 Tagen ago

Google fordert sichere Rahmenbedingungen für Datenaustausch zwischen USA und EU

Googles Chief Legal Officer kritisiert in einem Blogeintrag die Datenschutzgrundverordnung. Auslöser ist eine Entscheidung aus…

4 Tagen ago