Sicherheitslücke

Microsoft warnt vor Windows-Gadgets

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Microsoft warnt in einem neuen Security Advisory vor einer Sicherheitslücke durch die in Windows Vista eingeführten Desktop-Gadgets in der Sidebar.
Microsofts Fix-it schaltet Sidebar und Gadgets gleich komplett ab.
Microsofts Fix-it schaltet Sidebar und Gadgets gleich komplett ab.

Über die in der deutschen Lokalisierung "Minianwendungen" getauften Gadgets könne ein Angreifer Remote-Code ausführen, schreibt Microsoft in dem Advisory. Dazu muss ein Windows-Nutzer allerdings zunächst ein bösartiges Gadget installieren.

"Ein Angreifer, der eine Sicherheitsanfälligkeit bezüglich Minianwendungen erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen", heißt es in dem Advisory. Und weiter: " Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten."

Microsoft bietet deswegen auch gleich eine sogenannte Fix-it-Lösung* an, die Sidebar samt Minianwendungen komplett abschaltet. Deren Anwendung bleibt allerdings dem Nutzer überlassen. Im Rahmen des Patch Tuesday für Juli wurde der Patch jedenfalls nicht für alle Windows-Nutzer verteilt.

Die Gadget-Galerie hat Microsoft schon vor Wochen abgeschaltet.
Die Gadget-Galerie hat Microsoft schon vor Wochen abgeschaltet.

Microsoft hatte die Gadgets in Windows Vista unter anderem eingeführt, um Apple und dessen Dashboard-Widgets in Mac OS X Paroli zu bieten. Seine offizielle Gadget-Galerie hatte der Redmonder Konzern bereits vor einigen Wochen vom Netz genommen. Dort findet sich mittlerweile nur mehr ein Hinweis auf das Sicherheitsrisiko durch Gadgets und der Hinweis, dass mit den Apps im Metro-Stil in Windows 8 alles besser werden soll.

*Hinweis: Auf dem PC des Autors (HP Compaq 6200 Pro SFF mit Windows 7 Professional) hat das Microsoft Fix-it 50907 nicht funktioniert - nach dem erforderlichen Neustart bootete das System zunächst in 640 x 480 Pixel Auflösung, die sich nicht verändern ließen; nach einem weiteren Neustart wieder mit normalem Grafiktreiber, aber weiterhin mit Sidebar und Gadgets. Das Advisory beschreibt aber detailliert, wie man in einem solchen Fall alternativ die Sidebar über Gruppenrichtlinien oder einen Eintrag im Registrierungs-Editor dauerhaft abschaltet.