Microsoft ignoriert Zero-Day-Lücken

Die Zero Day Initiative (ZDI) hat nun fünf Sicherheitslücken veröffentlicht, weil Microsoft sie nicht innerhalb der gesetzten Frist von 4 Wochen geschlossen hat. Diese Frist ist im Rahmen des Responsible-Disclosure-Prozesses festgehalten.

Grafik dankend von lyzette

Vier der Lücken betreffen die Systemkomponente splwow64.exe (Print driver host) und können Rechteausweitungen und Codeausführungen mit erweiterten Rechten zur Folge haben. Eine Lücke betrifft das WLAN und kann dazu führen, dass der Angreifer Code mit Admin-Rechten ausführen kann. Für die ersten vier Lücken wird wahrscheinlich am Patchday im Juni ein Update ausgeliefert, für letztere hat Microsoft noch keinen Patch geplant.

Die Zero-Day-Lücken sind nur lokal ausnutzbar und hoch komplex, so ZDI. Ausgeführte Angriffe seien bisher nicht bekannt, Angaben über die Windows-Versionen wurden nicht veröffentlicht.

Weiterführende Links:

via heise

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.