Jasbug Microsoft stopft 15 Jahre alte Sicherheitslücke

Da hat sich Microsoft mal etwas Zeit gelassen: Per Update behebt der Konzern einen Fehler, der Windows seit vielen Jahren angreifbar macht. Nur eine Windows-Version bleibt weiter gefährdet.

Hinweis zu Update-Installation: Microsoft hat nach Jahren einen Windows-Fehler beseitigt

Hinweis zu Update-Installation: Microsoft hat nach Jahren einen Windows-Fehler beseitigt


Am zweiten Dienstag im Monat ist "Patch Tuesday". So wird der Tag genannt, an dem Microsoft traditionell Sicherheits-Updates für seine Software veröffentlicht. Auch der 10. Februar war ein solcher Dienstag, allerdings ein ungewöhnlicher. Zum einen stellte der Konzern ein Update für eine Sicherheitslücke bereit, die ungewöhnlich lang in Windows schlummerte. Zum anderen hat es besonders lang gedauert, dieses Update zu programmieren.

Das Sicherheitsleck wurde nach einer der Firmen benannt, die es Microsoft gemeldet haben. Weil das Unternehmen JAS Global Advisors heißt, heißt die Lücke Jasbug.

In seinem Security Research & Defense Blog erklärt Microsoft das Problem: Im Grunde besteht es darin, dass sich ein Dritter in die Netzwerkkommunikation zwischen einem externen Computer und einem Server einklinken und auf diesem Weg Schadsoftware auf den externen Rechner einschleusen kann.

Fotostrecke

34  Bilder
Windows - die Chronologie: Von Windows 1 bis Windows 10
Grundsätzlich hätten Angreifer mit dieser Methode die Möglichkeit, sich Administratorrechte auf dem attackierten System zu verschaffen. Obwohl Microsoft das Angriffsszenario mit einer anschaulichen Grafik illustriert, scheint der eigentliche Angriff Expertenkenntnisse zu erfordern.

"Das ist der Horror"

Dem Magazin "Forbes" sagt JAS-Chef Jeff Schmidt: "Das ist der Horror." Das Problem ist seiner Aussage nach kein Programmierfehler, sondern ein genereller Designfehler, der bis in Jahr 2000 zurückgeht. Die Lücke soll demnach 15 Jahre in Windows gesteckt haben.

Entsprechend lang ist die Liste der betroffenen Systeme. In einem sogenannten Security Bulletin zu der von Microsoft als MS15-011 geführten Lücke werden folgende Windows-Versionen aufgeführt: Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1.

Bisher keine Gefahr?

Die Schwere der Bedrohung stuft Microsoft als kritisch ein. Umso mehr wundert es, dass es offenbar ein Jahr gedauert hat, den Patch zu entwickeln. Gemeldet wurde die Lücke im Januar 2014, JAS und andere Firmen schwiegen aber bis jetzt, um Kriminellen keine Möglichkeit zu geben, die Schwachstelle auszunutzen. Laut "Forbes" sind bisher auch keine entsprechenden Vorfälle bekannt. Normalerweise werden Exploits, also das Wissen um nicht geflickte Sicherheitslücken, in nichtöffentlichen Foren im Internet gehandelt.

Wie groß die Gefahr wirklich ist, dass Kriminelle die Lücke für ihre Zwecke einsetzen, lässt sich nur schwer abschätzen. Schließlich müsste ein Täter, um die Lücke ausnutzen zu können, gezielt einen bestimmten Computer angreifen.

Nutzer von Windows Server 2003 müssen in Zukunft trotzdem damit leben, dass ihnen genau das drohen könnte. Denn für diese Windows-Variante gibt es keinen Dienstags-Patch von Microsoft. Der Konzern erklärt das damit, dass man das alte Betriebssystem radikal umbauen müsste, um es gegen den Jasbug abzusichern. Nach einem solchen Umbau könne nicht mehr sichergestellt werden, dass für Windows Server 2003 entwickelte Anwendungen noch fehlerfrei laufen.

So sieht Windows 10 aus
Matthias Kremp

Das neue Startmenü: In ähnlicher Form wie hier in der zweiten Windows-10-Vorabversion gab es das auch schon in der ersten Preview-Version. Im Grunde ist es eine Mischung aus altem Startmenü und der Kacheloptik von Windows 8.

Matthias Kremp

Darf es auch ein bisschen mehr sein? Neu ist, dass man das Startmenü per Mausklick jetzt bildschirmfüllend vergrößern kann. Das ähnelt sehr dem Erscheinungsbild von Windows 8 und ist vor allem auf Tablets nützlich. Vom Desktop aus lässt sich die vollflächige Darstellung auch über die Windows-Taste aktivieren.

Matthias Kremp

Settings: In erster Linie heben sich die Systemeinstellungen von Windows 10 optisch durch eine feinere Grafik von denselben Funktionen in Vorversionen ab.

Matthias Kremp

Wo soll es hin? Nutzer von Windows-Smartphones kennen diese Funktion bereits: Per Storage Sense kann man Dateien je nach Dateityp an unterschiedlichen Orten speichern lassen.

Matthias Kremp

Alles auf Anfang! Oder lieber doch nicht? Windows 10 bietet verschiedene Möglichkeiten, das Betriebssystem aufzufrischen oder zu einer vorherigen Version zurückzukehren, ohne dass dabei Daten verloren gehen.

Matthias Kremp

Mehr Privatsphäre: In den Privatsphäre-Einstellungen lässt sich sehr kleinteilig festlegen, welche Apps beispielsweise Mikrofon und Webcam nutzen dürfen und welche die Standortinformationen.

Matthias Kremp

Individualisierung: Für viele Anwendungen lässt sich einstellen, welche App das System als Standard verwenden soll. Ist keine alternative App vorhanden, kann man sich passende Apps im Windows Store anzeigen lassen.

Matthias Kremp

Windows-Explorer: Eine etwas aufgefrischte Optik sorgt für ein moderneres Erscheinungsbild. Zwischen unterschiedlichen Darstellungsgrößen kann man mit der Tastenkombination STRG-SHIFT-Zahl umschalten.

Matthias Kremp

Mittendrin: Microsofts Online-Speicher OneDrive ist in Windows 10 so tief integriert, dass er sich fast wie eine lokale Festplatte nutzen lässt.

Matthias Kremp

Benachrichtigungszentrum: Das sogenannte Notification Center informiert über aktuelle Systemmeldungen, neue Nachrichten und anstehende Termine. Auch Drittanbieter-Apps können diesen Platz nutzen.

Matthias Kremp

Neuer Windows Store: Parallel zu Microsofts etablierten Onlineshop wird in der neuen Windows-10-Version die Betaversion einer überarbeiteten Variante angeboten.

Matthias Kremp

Spielkram: Beim ersten Aufruf der neuen Xbox-App wird man unmissverständlich darauf hingewiesen, dass diese Software noch nicht fertig ist. Updates sollen aber regelmäßig eingespielt werden.

Matthias Kremp

Der Beweis: Schon beim kurzen Ausprobieren der Xbox-App zeigt sich, welche großen Lücken darin noch klaffen. Beim Aufruf vieler Funktionen erscheint nur der Hinweis, diese würden "bald kommen".

Matthias Kremp

Gut synchronisiert: Die Photos-App von Windows 10 erinnert an ihr Pendant auf Windows-Smartphones, mit dem die Bildbestände via Cloud abgeglichen werden. Auch hier klaffen noch viele Funktionslücken.

Matthias Kremp

Da geht schon was: Grundlegende Bildbearbeitungsfunktionen lassen sich mit der Photos-App schon ausprobieren.

Matthias Kremp

Wissen was geht: Die Karten-App von Windows 10 basiert auf Nokias Here-Maps und zeigt deshalb dieselben Kartendaten und Verkehrsinformationen an, die man auch in den Here-Apps für Smartphones zu sehen bekommt.

Matthias Kremp

Schiefes Bild: Auch eine perspektivische Ansicht bietet die Karten-App. Leider scheinen die Kartendaten nicht überall aktuell zu sein. Die hier eingezeichnete Tankstelle beispielsweise, gibt es schon seit Jahren nicht mehr.

Matthias Kremp

Ein bisschen spartanisch: Grundsätzlich wird Windows 10 noch mit dem Internet Explorer ausgeliefert. Indem man in dessen Adresszeile about:flags eintippt und dann die "Experimental Web Platform Features" auf "Enabled" stellt, kann man aber immerhin schon die dem künftigen Microsoft-Browser zugrundeliegende Trident-Engine aktivieren - auf eigene Gefahr.

Matthias Kremp

Zum Plappern: In die US-Variante von Windows 10 ist bereits eine Vorabversion der sprachgesteuerten Assistenzfunktion Cortana integriert.

Matthias Kremp

Verkehrte Wahrnehmung: Bei manchen Fragen, die man an Cortana richtet, merkt man eindeutig, dass die Software sich auf einem Smartphone wähnt. Hier haben wir gefragt: "What's up?" Cortana gab es bisher nur auf Windows-Smartphones.

Matthias Kremp

Basiswissen: Grundsätzlich lässt sich Cortana mit fast beliebigen Fragen testen. Nicht immer aber erhält man so konkrete Antworten wie hier auf die Frage, wie viele Liter eine US-Gallone sind.

Matthias Kremp

Weiterführende Antwort: Bei manchen komplexen Fragen verweist Cortana nur auf eine Websuche per Bing. Das System steckt eben noch in der Entwicklungsphase.

Matthias Kremp

Ein wenig Humor: Auch auf die Frage, wer denn wohl Siri - Apples Gegenstück zu Cortana - ist, hat das System eine Antwort. Wenn auch eine nur teilweise ernst gemeinte.

mak

Mehr zum Thema


insgesamt 28 Beiträge
Alle Kommentare öffnen
Seite 1
Meinende 11.02.2015
1. Linux - Linux - Linux
Ein Jahr? Ein ganzes Jahr? Linux bringt in der Zeit im Schnitt vier neue Kernels 'raus, unzählige Updates nicht nur an bestimmten Tagen und wenn's mal schnell gehen muss patches innerhalb von Tagen. Zugegeben, ich hab' Windows7 noch als Dualboot... games für Linux sind eine echte Schwäche... aber für alles andere stellt sich immer mehr die Frage: wieso Microsoft? Und damit es ein Aufwaschen ist... gleiches gilt für den angebissenen Apfel gleich mit.
cosmose 11.02.2015
2.
Zitat von MeinendeEin Jahr? Ein ganzes Jahr? Linux bringt in der Zeit im Schnitt vier neue Kernels 'raus, unzählige Updates nicht nur an bestimmten Tagen und wenn's mal schnell gehen muss patches innerhalb von Tagen. Zugegeben, ich hab' Windows7 noch als Dualboot... games für Linux sind eine echte Schwäche... aber für alles andere stellt sich immer mehr die Frage: wieso Microsoft? Und damit es ein Aufwaschen ist... gleiches gilt für den angebissenen Apfel gleich mit.
Sie verstehen, das es hier um einen Bug in der Client-/Serverkommunikation geht? Spielt also eher im Unternehmensumfeld eine Rolle, und da führt kein Weg an Microsoft vorbei. Alleine Exchange- und Sharepoint-Server sind zwei unverzichtbare Produkte, für die es m.W.n. nicht mal ansatzweise Produkte für Linux/Unix gibt. Privat sehe ich das übrigens fast genau so wie Sie. Wieso Sie allerdings beim Thema Bugs Apple und Windows in einen Topf werfen, ist mir schleierhaft. Die unixoide Basis von OS X und Co. ist jedenfalls meilenweit von der Bananensoftware Windows entfernt.
NWOBasher 11.02.2015
3.
Zitat von MeinendeEin Jahr? Ein ganzes Jahr? Linux bringt in der Zeit im Schnitt vier neue Kernels 'raus, unzählige Updates nicht nur an bestimmten Tagen und wenn's mal schnell gehen muss patches innerhalb von Tagen. Zugegeben, ich hab' Windows7 noch als Dualboot... games für Linux sind eine echte Schwäche... aber für alles andere stellt sich immer mehr die Frage: wieso Microsoft? Und damit es ein Aufwaschen ist... gleiches gilt für den angebissenen Apfel gleich mit.
Ach bitte! Diese Lücke ist offenbar nicht ausgenutzt worden. MS-stellt alle 4 Wochen Updates zur Verfügung. Linux hat ja auch Fehler, die mit Updates behoben werden! Auch Linux benutze ich ab und an. Also bitte. Dieses kindische ich hab das bessere OS ist einfach nur lächerlich ....
Ludwig Eser 11.02.2015
4. Linux - Linux - Linux_1
Volle Zustimmung. Ich arbeite schon lange mit Ubuntu (zZt. 14.04 64Bit). Ein Win7 als Dualboot habe ich ebenfalls, das benutze ich ein- bis zweimal im Monat, je nachdem. Zusätzlich noch eine Einschubfestplatte mit Mint 17, für alle Fälle. Für Win 10 werde ich jedenfalls kein Geld ausgeben.
stirnrunzlerin52 11.02.2015
5. Die Vorschau
sieht aus wie der Desktop Unity von Ubuntu als Gnome2 abgelöst werden sollte. Nur das dies jetzt schon ein paar Jahre her ist. Also wenn es Microsoft es einsetzt ist es modern und bestimmt patentiert wenn es unter Linux eingesetzt wird ist es altgebacken und nur etwas für Spezialisten? cooles Microsoft!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.