Categories: Sicherheit

Zwei weitere Zero-Day-Lücken in Microsoft-Produkten auf GitHub veröffentlicht

Die Sicherheitsforscherin mit dem Pseudonym SandboxEscaper hat zwei weitere Zero-Day-Lücken in Microsoft-Produkten öffentlich gemacht. Während einer der beiden Fehler in Windows steckt, betrifft der andere den Browser Internet Explorer. In den kommenden Tagen will SandboxEscaper erneut zwei Bugs enthüllen, ohne Microsoft die Möglichkeit zu geben, vorab Patches bereitzustellen.

Die erste Schwachstelle nennt die Forscherin AngryPolarBearBug2. Dem GitHub-Eintrag zufolge erlaubt die Windows-Fehlerberichterstattung eine nicht autorisierte Ausweitung von Benutzerrechten. Einen ähnlichen Bug in der Fehlerberichterstattung hatte sie bereits im Dezember vorgestellt. Der neue soll jedoch schwerer auszunutzen sein. „Es braucht mehr als 15 Minuten, um den Fehler auszulösen“, teilte SandboxEscaper mit.

Außerdem liegt Quellcode für einen Exploit vor, der es erlaubt, Schadcode in den Browser Internet Explorer 11 einzuschleusen. Einem anderen Forscher zufolge ist dies jedoch nicht aus der Ferne möglich. Allerdings könne ein Angreifer Sicherheitsfunktionen von IE11 abschalten und den Weg für weitere Attacken ebenen. Für diesen Exploit liegt auch ein Demo-Video vor.

In ihrem persönlichen Blog nennt die Forscherin auf Motive für ihr Vorgehen. Den Hersteller Microsoft informiert sie aus Abneigung gegenüber der IT-Branche sowie westliche Länder vorab nicht über ihre Erkenntnisse. „Ich hasse alle Menschen in dieser Branche. Jeder glaubt, er weiß es besser. Jeder zeigt nur mit dem Finger auf andere“, schreibt sie in einem Kommentar. „Das passiert, wenn das FBI mein Google-Konto durchsucht und in meine Privatsphäre eindringt.“ Sie habe Teile ihrer Bugs an Leute weitergegeben, die die USA hassten. Sie setzten sie nun gegen die USA ein.

In einem weiteren Kommentar bietet sie ihre Bugs auch zum Kauf an. „Falls jemand, der nicht aus dem Westen ist, meine Bugs kaufen will, lasst es mich wissen.“ Ein Fehler, der eine Ausweitung von Nutzerrechten erlaube, koste bei ihr mindestens 60.000 Dollar. „Ich schulde der Gesellschaft nichts. Ich möchte nur reich werden und Euch Vollpfosten den Mittelfinger zeigen.“

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

>> zum Whitepaper
Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: HackerInternet ExplorerSecuritySicherheitWindowsZero-Day
5 Jahren ago

Recent Posts

Microsoft stellt kleines KI-Modell Phi-3 Mini vor

Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…

52 Minuten ago

Google schließt kritische Sicherheitslücke in Chrome

Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.

3 Stunden ago

Microsoft beseitigt Fehler im März-Sicherheitsupdate für Exchange Server

Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…

18 Stunden ago

Neue iPads: Apple kündigt Event für 7. Mai an

Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…

19 Stunden ago

EU-Parlament stimmt für Recht auf Reparatur

Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…

1 Tag ago

Forscher entwickeln Exploits per GPT-4 aus Sicherheitswarnungen

Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…

2 Tagen ago