Sicherheitslücke in Windows 8 zu verkaufen

Die französische Sicherheitsfirma Vupen verkauft laut eigenen Angaben exklusive Informationen zu einer Sicherheitslücke in Windows 8 und dessen Internet Explorer 10. Tatsächlich macht Vupen mit solchen Daten schon lange Geschäfte und bewegt sich damit in einer Art Grauzone der Sicherheitsfirmen: Firmen wie Vupen haben es sich zur Aufgabe gemacht in verbreiteter Software großer Hersteller Sicherheitslücken zu entdecken und die Informationen an die Höchstbietenden zu verkaufen. Die Käufer sollen Vupens Informationen dann zum Selbstschutz einsetzen.

Jetzt hat Vupen offenbar einen Fehler in Windows 8 und im Internet Explorer 10 entdeckt. Um was für eine Sicherheitslücke es sich genau handelt und was passiert, wenn jemand sie ausnutzen würde, ist offen. Dave Forstrom, Leiter der Microsoft-Abteilung für Trustworthy Computing, gibt zu Protokoll, dass Vupen keine Angaben an Microsoft weitergeleitet hat. Er ermuntert alle Entwickler, die Sicherheitslücken in den Microsoft-Betriebssystemen entdecken, die Informationen zum Wohle aller an Microsoft zu übergeben.

Vupen hat per Twitter offen gelegt, dass die entdeckte Sicherheitslücke erlauben soll in Windows 8 Schutzmaßnahmen wie Address Space Layout Randomization (ASLR), das Anti Return Oriented Programming und DEP (Data Execution Prevention) zu umgehen. Der Fehler soll in Windows 8 mit dem Internet Explorer 10 zusammenhängen – nicht aber mit Adobe Flash.

Der Wert der Sicherheitslücke ist schwer zu beurteilen: Laut Joy Melbourne, einer Senior-Beraterin der australischen Sicherheitsfirma HackLabs, könnte man die Lücke eventuell ausnutzen um Quellcode zu stehlen.

Quelle: Computerworld