Eine Lücke wie ein Scheunentor

Sicherheits-Loch in Windows

11.02.2004, 11:19

Von Helmut Martin-Jung

Ein halbes Jahr lang hat Microsoft geschwiegen, nun ist es heraus: In den modernen Windows-Betriebssystemen gähnt ein riesiges Sicherheits-Loch. Immerhin gibt es zeitgleich zur Warnung auch gleich ein Sicherheits-Update. Aber ob Lieschen Müller sich das auch herunter lädt?

 
mehr zum Thema

Computer-Sicherheit
Hoppla-di-Klick weiter
 
Kommentar
Der Virus sitzt vor dem Rechner weiter
 
Computerkriminalität
Wurm drinweiter
 
Computer-Viren
Gefährliche Schlampereiweiter
 
 

Dass eine neue Sicherheitslücke in einem von Microsofts Windows-Betriebssystemen entdeckt worden sei, diese Nachricht ist in den vergangenen Jahren schon so oft über die Ticker gegangen, dass ihr Neuigkeitswert gegen Null tendiert.

Viele Kritiker erinnert die Software mit ihren zahlreichen Löchern schon lange mehr an einen Schweizer Käse denn an eine solide Basis, auf der Anwendungsprogramme aufsetzen.

Die Warn-Meldung, die Microsoft jetzt herausgegeben hat, weicht in entscheidenden Punkten von der bisherigen Praxis ab. Zum einen liefert der weltgrößte Software-Konzern diesmal das Gegenmittel zeitgleich mit dem Alarm aus. Zum anderen entspricht die Lücke, die nun zu schließen ist, schon eher einem offenen Scheunentor.

Ein Scheunentor, das in der Welt der Nachwuchs-Hacker und ihrer Virus-Baukästen offenbar noch nicht bekannt war. Und auch diese Tatsache hebt den neuen Vorfall von vorangegangenen ab.

Denn wenigstens eine Firma, der US-Sicherheitsspezialist eEye, hatte das Sicherheitsloch vor etwa einem halben Jahr entdeckt, war aber damit nicht wie sonst üblich sofort an die Öffentlichkeit gegangen, sondern zu Microsoft.

Gemeinsam einigten sich beide darauf, solange zu schweigen, bis es den Windows-Programmierern in Redmond gelungen wäre, das Loch zu stopfen.

Aber worin genau besteht eigentlich das Sicherheitsloch? Ausgangspunkt ist eine so genannte Bibliothek, also eine Datei, die anderen Programmen grundlegende Funktionen zur Verfügung stellt, damit diese nicht das Rad für jedes Programm neu erfinden und dadurch die Programme aufblähen müssen.

Eine dieser Bibliotheken, die nur gut 50 Kilobyte große msasn1.dll, erlaubt es Angreifern, einen Speicherbereich des attackierten Computers mit einem Übermaß an Daten zuzumüllen und in dem so angerichteten Chaos dann beliebige Programme zu starten - ein fehler, dessen Grundprinzip seit Jahren ebenso bekannt wie unverändert ist.

Die Verbindung mit der asn1-Bibliothek ist deshalb so kritisch, weil man damit eine Schlüsselposition in einem Windows-System erobert hat: Von dort aus wird gesteuert, wer sich mit welchen Rechten am Computer anmelden darf und dort befindet sich auch eine Schaltstelle zur Verschlüsselung von Daten, wie sie etwa bei Online-Bestellvorgängen eingesetzt wird.

Das nun bekannte Sicherheitsloch hätte es Hackern ermöglicht, mit gefälschten Sicherheitszertifikaten beliebige Programme auf Rechnern auszuführen. Solche Zertifikate werden dann angeboten, wenn ein Programm einer Website „nachfragt“, ob es installiert werden soll und dabei bekannt gibt, von woher es stammt.

Marc Maiffret von eEye erklärte, vermutlich seien noch nie so viele Systeme durch einen Windows-Fehler bedroht gewesen. Durch die Lücke „kann man in Internet-Server eindringen, in interne Netzwerke, praktisch in jedes System“. Auch Computersysteme, die Stromkraft- oder Wasserwerke kontrollierten, seien gefährdet.

Maiffret kritisierte, das Microsoft nach dem Hinweis seiner Firma sechs Monate brauchte, um einen Patch bereit zu stellen und die Öffentlichkeit zu informieren. Ob die Lücke bereits von Hackern erkannt und ausgenutzt wurde, sei nicht bekannt, erklärten beide Unternehmen übereinstimmend.

Nun ist es an den Administratoren von Firmennetzwerken und an den Privatanwendern, sich die Patches, die Flicken, für dieses Sicherheitsloch übers Internet zu holen – am besten gleich im Paket mit all den anderen Patches, die Microsoft oft Monate nach Bekanntwerden der Sicherheitslücke zwar anbietet, die viele aber dennoch nicht installiert haben, nach dem Motto: Wird schon gut gehen.

Dass viele immer noch so verfahren, zeigt eine Weiterentwicklung des Computerschädlings MyDoom. Der neue Wurm Doomjuice verbreitet sich über das Internet, nicht über E-Mail, und sucht nach Computern, die von MyDoom infiziert sind und deren Besitzer nichts dagegen unternommen haben.

MyDoom hat auf befallenen Computern eine Hintertür geöffnet, durch die Doomjuice nun schlüpfen will. Ziel von Doomjuice ist es dem Computersicherheits-Spezialisten Sophos zufolge, von den befallenen Computern aus eine Attacke gegen die Internet-Seite von Microsoft zu starten.

(sueddeutsche.de)

ANZEIGE

mehr ...

Aufgepasst - Verseuchter Neujahrsgruß
Windows im Laborkittel - Sicherheit statt "Wow-Effekt"
Sicherheitslücken - Exploits nutzen Windows Media Player
Microsoft Patch Day - 12 Security Bulletins am 8. August
Warnung - Microsoft Sicherheitsempfehlung zum Sober-Wurm
Unmoralische Offerte - Hacker verkauften WMF-Exploit für 4.000 Dollar
Patch day - Microsoft und der Tag des Fleckens
Angst vor Würmern - DHS: Nutzer, patcht Euer Windows!

Themen

Lieschen Müller, Meldung, Microsoft, Monat, Nachricht, Netzwerk, Null, Paket, Patch, Praxis, Programm, RAD, Redmond, Sicherheitslücke, Unternehmen, Virus, eEye, Öffentlichkeit

Weitere Artikel in Digital

Leserkommentare (0)



Wir wollen die Qualität der Nutzerdiskussionen stärker moderieren. Bitte haben Sie deshalb Verständnis, dass wir die Kommentare ab 19 Uhr bis 8 Uhr des Folgetages einfrieren. In dieser Zeit können keine Kommentare geschrieben werden. Dieser "Freeze" gilt auch für Wochenenden (Freitag 19 Uhr bis Montag 8 Uhr) und für Feiertage.


Kostenlose W-Lan Hotspots
maps.sueddeutsche.de
Kaffee? Internet? Oder beides! Kostenlose Hotspots finden auf maps.sueddeutsche.de
Gamescom 2009
Spiele
Es muss nicht immer die Maus sein: Mit Shortcuts geht es oft schneller. Kennen Sie die wichtigsten Tastenkombinationen für Windows?
Im Netz lauern Gefahren: Viren und Würmer bedrohen Ihren Rechner. Dagegen sollten Sie gewappnet sein. Testen Sie Ihr Sicherheits-Wissen.
Was den Deutschen die Klimakatastrophe, ist den Amerikanern "w00t". Das US-Lexikon "Merriam-Webster" hat den Cyberslang-Begriff zum Wort des Jahres gekürt. Was heißt das?
Jeden Tag stolpert der Leser über Zitate von Menschen, die sich zwar berufsbedingt mit dem Internet beschäftigen - dies aber oft mit bemerkenswerter Ahnungslosigkeit. Wir haben die besten Sprüche gesammelt und wollen nun von Ihnen wissen: Wer hat's gesagt?
Das Blog zu Computerspielen
Bildstrecken
Ein Klick, und die E-Mail ist verschickt. Dumm, wenn der Fehler des Chefs per CC nicht nur an die Kollegen geht. Die zehn peinlichsten Mail-Pannen.
Sie geben Rätsel auf, machen Angst oder sind einfach nur hässlich: Wir zeigen die zehn größten Design-Unfälle der Technik-Geschichte.
Das Ende des Internet steht kurz bevor: zu viel Betrieb, zu wenig Speicher, falsche Leitungen. Bis es aber tatsächlich soweit ist, erwärmen Fehlermeldungen die Herzen der Nutzer. Wir zeigen die schönsten Exemplare.
Jung, sexy und erfolgreich: Die Internetunternehmer im Web-2.0-Zeitalter sind maximal um die 30. Und sie haben schon Millionen verdient.
Zwischen "Pong" und "Doom" liegen zwanzig Jahre Computerspielentwicklung. Dazwischen gibt unzählige Klassiker, die auch heute noch Spaß machen.
Seit vielen Jahren beherrscht Microsft mit Windows den Markt für Betriebssysteme. Wir zeigen die Evolution.
Trends für den Orkus: Höchste Ansprüche und spektakuläres Scheitern liegen oft eng beieinander.
FarCry
Von Super Mario mit Dennis Hopper bis Far Cry mit Til Schweiger: Bei Games-Verfilmungen gehen krude Drehbücher und große Stars oft eine unheilvolle Allianz ein. Die schönsten Flops.
Linux taugt nichts und WLan und Handys verursachen Krebs: Zehn Sätze, mit denen Sie jeden richtigen Nerd zur Weißglut treiben.
Bilder des Tages
Bilder des Tages
Heiße Ware
Internetwörterbuch
Suche
Geben Sie hier einen Suchbegriff ein:
 
Newsticker Digital
alle News...

ANZEIGE

Innovate!
Infothek
zum Seitenanfang
Seitenanfang
Nachrichten Politik Wirtschaft Geld Sport Kultur Leben Panorama München Bayern Job Immobilienmarkt Auto Reise Digital Fitness Wissen Wetter Stellenangebote Immobilien Automarkt Kino SZ-Shop Tickets
Mediadaten Newsletter Datenschutz AGB Impressum Kontakt Jobs Praktika
Copyright © sueddeutsche.de GmbH / Süddeutsche Zeitung GmbH
Artikel der Süddeutschen Zeitung lizenziert durch DIZ München GmbH. Weitere Lizenzierungen exklusiv über www.diz-muenchen.de