Die Zero Day Initiative (ZDI) hat nun fünf Sicherheitslücken veröffentlicht, weil Microsoft sie nicht innerhalb der gesetzten Frist von 4 Wochen geschlossen hat. Diese Frist ist im Rahmen des Responsible-Disclosure-Prozesses festgehalten.
Vier der Lücken betreffen die Systemkomponente splwow64.exe (Print driver host) und können Rechteausweitungen und Codeausführungen mit erweiterten Rechten zur Folge haben. Eine Lücke betrifft das WLAN und kann dazu führen, dass der Angreifer Code mit Admin-Rechten ausführen kann. Für die ersten vier Lücken wird wahrscheinlich am Patchday im Juni ein Update ausgeliefert, für letztere hat Microsoft noch keinen Patch geplant.
Die Zero-Day-Lücken sind nur lokal ausnutzbar und hoch komplex, so ZDI. Ausgeführte Angriffe seien bisher nicht bekannt, Angaben über die Windows-Versionen wurden nicht veröffentlicht.
Weiterführende Links:
- Microsoft Windows WLAN Connection Profile Missing Authentication Privilege Escalation Vulnerability (CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Privilege Escalation Vulnerability(CVE-2020-0916, CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Privilege Escalation Vulnerability(CVE-2020-0986, CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Privilege Escalation Vulnerability(CVE-2020-0915, CVSS-Score 7.0)
- Microsoft Windows splwow64 Untrusted Pointer Dereference Information Disclosure Vulnerability(CVE-2020-0915 /s.o., wohl zwei Angriffsmöglichkeiten, CVSS-Score 2.5)