Sicherheitsleck klafft seit 17 Jahren in Windows

22. Januar 2010
Tino Hahn Von Tino Hahn, News & Trends, Windows, Freeware & Open Source, Linux ...

Der Google-Programmierer Travis Ormandy hat in seinem Blog einen Code-Schnipsel veröffentlicht, mit dem sich eine rund 17 Jahre alte Sicherheitslücke aktiv ausnutzen lässt: Durch dieses Leck in der Systemsicherheit von Windows ist es möglich, in der Eingabeaufforderung Befehle mit Systemrechten auszuführen – auch dann, wenn man lediglich über eingeschränkte Rechte verfügt.

Damit dürften Privatanwender kein besonderes Problem haben, da die Missbrauchsgefahr gering ist. Für Administratoren in Firmen-Netzwerken könnten Nutzer mit Systemrechten jedoch zu einem Problem werden.

Dieses Problem betrifft alle Windows-Versionen seit Windows 3.1 – mit anderen Worten: Sowohl in Windows XP als auch in Windows Vista und Windows 7 ist diese Sicherheitslücke vorhanden. Sie steckt in der Virtual DOS Machine, die zum Ausführen von Anwendungen in 16-Bit benötigt wird. Deshalb lässt sich diese Sicherheitslücke auch schließen, indem die Unterstützung für 16-Bit-Anwendungen abgeschaltet wird. Dies ist über den Editor für lokale Gruppenrichtlinien möglich:

Klicken Sie dazu auf „Start“ und geben Sie in das Suchfeld den Befehl „gpedit.msc“ ein, um den Editor für lokale Gruppenrichtlinien zu starten.

Navigieren Sie dann zu „Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Anwendungskompatibilität“.

Klicken Sie dort doppelt mit der linken Maustaste auf „Zugriff auf 16-Bit-Anwendungen verhindern“.

Wählen Sie jetzt die Einstellung „Aktiviert“ aus. Dadurch schalten Sie die Unterstützung für 16-Bit-Anwendungen aus, was in der Regel für keinerlei Probleme sorgen sollte: Die meisten Anwendungen liegen als 32-Bit-Version vor, sodass allenfalls bei älteren Programmen zu Startschwierigkeiten kommt.

Travis Ormandy hat diesen Beispiel-Code übrigens nicht aus reiner Boshaftigkeit veröffentlicht – vielmehr hat er Microsoft bereits im vergangenen Jahr darauf hingewiesen, dass diese Sicherheitslücke existiert. Doch bislang hat Microsoft darauf nicht reagiert und somit noch keinen Patch veröffentlicht.

Gratis: Anti-Virus Paket - Jetzt neu für Windows!

+ Gratis Viren-Eilmeldungen per E-Mail

  • Keine Chance für Hacker!
  • Von PC-Sicherheits-Experten geprüft!
  • + Gratis E-Mail-Ratgeber "Viren-Ticker"!

Weitere Artikel zum Thema

Gratis: Anti-Virus Paket - Jetzt neu für Windows!

  • + Gratis E-Mail-Ratgeber "Viren-Ticker"!
DDV Qualitätsstandard E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.
Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"