computerwoche.de

Security

Sicherheitslücke

Microsoft warnt vor Windows-Gadgets

12.07.2012
Von 
Thomas Cloer war Redakteur der Computerwoche.
Alle Posts des Autors Connect:
Microsoft warnt in einem neuen Security Advisory vor einer Sicherheitslücke durch die in Windows Vista eingeführten Desktop-Gadgets in der Sidebar.

Über die in der deutschen Lokalisierung "Minianwendungen" getauften Gadgets könne ein Angreifer Remote-Code ausführen, schreibt Microsoft in dem Advisory. Dazu muss ein Windows-Nutzer allerdings zunächst ein bösartiges Gadget installieren.

"Ein Angreifer, der eine Sicherheitsanfälligkeit bezüglich Minianwendungen erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen", heißt es in dem Advisory. Und weiter: " Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten."

Microsoft bietet deswegen auch gleich eine sogenannte Fix-it-Lösung* an, die Sidebar samt Minianwendungen komplett abschaltet. Deren Anwendung bleibt allerdings dem Nutzer überlassen. Im Rahmen des Patch Tuesday für Juli wurde der Patch jedenfalls nicht für alle Windows-Nutzer verteilt.

Microsoft hatte die Gadgets in Windows Vista unter anderem eingeführt, um Apple und dessen Dashboard-Widgets in Mac OS X Paroli zu bieten. Seine offizielle Gadget-Galerie hatte der Redmonder Konzern bereits vor einigen Wochen vom Netz genommen. Dort findet sich mittlerweile nur mehr ein Hinweis auf das Sicherheitsrisiko durch Gadgets und der Hinweis, dass mit den Apps im Metro-Stil in Windows 8 alles besser werden soll.

*Hinweis: Auf dem PC des Autors (HP Compaq 6200 Pro SFF mit Windows 7 Professional) hat das Microsoft Fix-it 50907 nicht funktioniert - nach dem erforderlichen Neustart bootete das System zunächst in 640 x 480 Pixel Auflösung, die sich nicht verändern ließen; nach einem weiteren Neustart wieder mit normalem Grafiktreiber, aber weiterhin mit Sidebar und Gadgets. Das Advisory beschreibt aber detailliert, wie man in einem solchen Fall alternativ die Sidebar über Gruppenrichtlinien oder einen Eintrag im Registrierungs-Editor dauerhaft abschaltet.