![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Chrome.jpg\")
Google schlie\u00dft im Chrome Browser gleich zwei L\u00fccken, um die Chrome-Nutzer zu sch\u00fctzen. Eine betrifft Flash, aber besonders interessant: Eine betrifft eine bisher durch Microsoft (mutma\u00dflich in Windows 10) nicht gepatchte Sicherheitsl\u00fccke. Hei\u00dft, dass man momentan beim verwendeten Browser arg aufpassen muss.<\/p>\n
<\/p>\n
\u00dcber den Sachverhalt bin ich durch Norbert Rittel auf Google+ aufmerksam gemacht worden. Ich hatte die Infos zuerst in der falschen Schublade einsortiert, aber jetzt passt es hoffentlich.<\/p>\n
\u00dcber die kritische Sicherheitsl\u00fccke in Adobe Flash hatte ich am 27. Oktober 2016 im Beitrag Adobe Flash: Notfall-Patch 26.10.2016 berichtet. Ende Oktober hat Microsoft ein Update f\u00fcr Windows 8.1 bis Windows 10 f\u00fcr diese L\u00fccke freigegeben (siehe Microsoft Flash-Sicherheits-Update 27.10.2016 f\u00fcr Windows<\/a>).<\/p>\n Die Adobe-Flash-Sicherheitsl\u00fccke wurde am 21. Oktober durch das Google Projekt Zero an Adobe berichtet. Adobe hat die Sicherheitsanf\u00e4lligkeit CVE-2016-7855 am 26. Oktober 2016 geschlossen. In diesem Blog-Beitrag<\/a> weist Google Security darauf hin, dass die L\u00fccke in Chrome durch den Auto-Updater geschlossen wird (es wird ein ge\u00e4ndertes Flash-Modul in Google Chrome geladen).<\/p>\n Der zweite Teil in diesem Blog-Beitrag<\/a> ist deutlich interessanter. Google Security weist auf eine bisher nicht geschlossene, kritische Sicherheitsl\u00fccke in Windows hin. Es handelt sich um eine Local Privilege Escalation-Schwachstelle im Windows-Kernel. Diese kann ausgenutzt werden, um aus der einer Sandbox (IE-Sicherheitszonen, Browser-Sandbox, m\u00f6glicherweise auch Windows-Apps, nach meinem Gef\u00fchl zumindest in Win32-UWP-Apps ausnutzbar) auszubrechen.<\/p>\n Die L\u00fccke l\u00e4sst sich durch einen Systemaufruf der win32k.sys <\/em>API-Funktion NtSetWindowLongPtr() <\/em>ausnutzen. Es betrifft den Index-Eintrag GWLP_ID f\u00fcr ein Fenster-Handle, bei dem der Wert GWL_STYLE auf WS_CHILD gesetzt ist. Dann l\u00e4sst sich die Sicherheitsl\u00fccke verwenden, um die Local Privilege Escalation-Schwachstelle im Windows-Kernel auszunutzen und dem Schadprogramm erh\u00f6hte Rechte einzur\u00e4umen.<\/p>\n F\u00fcr Endanwender klingt das erst einmal reichlich esoterisch, wer wei\u00df schon, was ein Index-Eintrag GWLP_ID f\u00fcr ein Fenster-Handle ist \u2013 f\u00fcr die Details muss ich selbst nachschauen. Aber: Die Zero-Day-Exploit-Schwachstelle existiert und lie\u00dfe sich wohl in einem Browser ausnutzen (bzw. wird laut Google aktiv ausgenutzt). Und bisher hat Microsoft die Schwachstelle nicht geschlossen \u2013 d\u00fcrfte ggf. am n\u00e4chsten Patchday passieren. Oder ggf. mit einem Sonder-Update (heute oder die Tage), nachdem Google den Zero-Day-Exploit nach einer Stillhaltefrist von 7 Tagen \u00f6ffentlich gemacht hat.<\/p>\n F\u00fcr Windows-Nutzer hei\u00dft das \u2013 nach meiner Interpretation \u2013 erst einmal keine ungepatchten Browser (IE, Edge) mehr zum Surfen im Web verwenden. Google hat seinen Chrome Browser f\u00fcr Windows so ert\u00fcchtigt, dass der Zero-Day-Exploit in Windows nicht mehr im Browser ausgenutzt werden kann. Dazu blockt die Sandbox im Google Chrome-Browser alle win32k.sys-<\/em>Systemaufrufe.<\/p>\n Verwendet wird eine von Google als Chromium Win32k system call lockdown<\/em> (Win32k lockdown<\/a>) bezeichnete Technik. Die dahinter stehende Technologie kann ab Windows 8 verwendet werden, um win32k.sys-<\/em>Systemaufrufe zu blockieren. Was mich stutzig macht: Das Ganze bezieht sich laut Google<\/a> explizit auf Windows 10 (ich interpretiere das so, dass die L\u00fccke nur dort ausnutzbar ist).<\/p>\n Jedenfalls verhindert ein Chrome-Update unter Windows 10, dass die Sicherheitsl\u00fccke zum Verlassen der Browser-Sandbox ausgenutzt werden kann. Es ist eine merkw\u00fcrdige Sache, dass Google Techniken anwenden muss, um auf Windows Sicherheitsl\u00fccken zu reagieren, die Microsoft noch nicht geschlossen hat. Das kann noch lustig werden und Googles Project Zero zieht die Daumenschrauben bez\u00fcglich Zero-Day-Exploits und deren Offenlegung m\u00f6glicherweise an. Oder wie seht ihr das so?<\/p>\n Bei VentureBeat<\/a> hat man eine Stellungnahmen von Microsoft zum betreffenden Exploit herausgegeben:<\/p>\n \"We believe in coordinated vulnerability disclosure, and today's disclosure by Google puts customers at potential risk,\" a Microsoft spokesperson told VentureBeat. \"Windows is the only platform with a customer commitment to investigate reported security issues and proactively update impacted devices as soon as possible. We recommend customers use Windows 10 and the Microsoft Edge browser for the best protection.\"<\/p><\/blockquote>\n Na ja, wenn Google schreibt, dass die Schwachstelle bereits aktiv ausgenutzt ist, kann man diese Stellungnahme gleich in den Papierkorb klopfen. Bei VentureBeat findet sich aber auch ein Hinweis von Quellen \"aus dem Umfeld von Google\". Diese geben an, dass ein ungepatchtes Flash Plugin in Windows 10 erforderlich sei, um die L\u00fccke auszunutzen. Diese wurde aber von Microsoft gepatcht. Allerdings ist davon auszugehen, dass auch andere Angriffsmethoden entwickelt werden oder bereits verf\u00fcgbar sind. Aus diesem Blickwinkel warten wir auf den Patch von Microsoft.<\/p>\n Nachtrag 2: Julia hat im Kommentarbereich auf einen Technet-Artikel zum Thema hingewiesen. Ich habe die Infos im Beitrag\u00a0Neues zum Windows win32k.sys-Zero-Day-Exploit CVE-2016-7855<\/a>\u00a0aufbereitet.<\/p>\n \u00c4hnliche Artikel:<\/strong> Google schlie\u00dft im Chrome Browser gleich zwei L\u00fccken, um die Chrome-Nutzer zu sch\u00fctzen. Eine betrifft Flash, aber besonders interessant: Eine betrifft eine bisher durch Microsoft (mutma\u00dflich in Windows 10) nicht gepatchte Sicherheitsl\u00fccke. Hei\u00dft, dass man momentan beim verwendeten Browser arg … Weiterlesen Bisher offene Sicherheitsl\u00fccke in Windows \u2026<\/h3>\n
Nachtrag: Weitere Vermutungen und ein Microsoft-Statement<\/h3>\n
\nAdobe Flash: Notfall-Patch 26.10.2016
\nMicrosoft Flash-Sicherheits-Update 27.10.2016 f\u00fcr Windows
\n<\/a>Neues zum Windows win32k.sys-Zero-Day-Exploit CVE-2016-7855<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"