Do. 13. November 2014 um 11:41

Microsoft Schannel: Sicherheitslücke so schwerwiegend wie Heartbleed

von Marcel Laser2 Kommentare

Eine Sicherheitslücke, die Microsoft seit Wochen Kopfzerbrechen bereitet und vom Redmonder Unternehmen auf den internen Namen Schannel getauft wurde, erlaubt es Angreifern, manipulierte Datenpakete durch eigentlich verschlüsselte Verbindungen in die Systeme zu schleusen. Nahezu alle Windows-Systeme, egal ob Tablets, Laptops, Desktop-Systeme oder andere Geräte mit Windows Betriebssystem, sind betroffen. Welche Version zum Einsatz kommt, spielt hier wohl keine Rolle. Das Problem sitzt im Bereich einer Sicherheitskomponente Namens „Microsoft Secure Channel“, welche eigentlich für die verschlüsselten Verbindungen zuständig ist und in den letzten Jahren in so ziemlich allen Windows-Versionen zu finden ist.

 

Der Angreifer kann so ein manipuliertes Datenpaket über die angeblich sichere Verbindung schickem, welche aber von der Komponente nicht erkannt wird – obwohl diese das eigentlich tun sollte – und im Ernstfall sogar das gesamte Systeme übernehmen. Microsoft selber stuft die Sicherheitslücke Schannel als extrem kritisch ein und vor allem Webseitenbetreiber, die ihre Internetseiten mit Windows-Systemen betreiben, sind derzeit akut gefährdet. Microsoft selber gibt aber an, dass die Lücke bisher nicht ausgenutzt wurde.

 

Ein Patch für die Server-Versionen von Windows wurde zwar bereits ausgerollt, allerdings läuft die Verteilung sehr schleppend und es dürfte noch eine ganze Weile dauern, bis alle Windows Versionen mit einem Update für den Verschluss der Lücke versorgt worden sind. Das Ausmass des Patchvorgangs erinnert hier schon fast an Heartbleed, welcher im Frühjahr 2014 viele weltweite Sicherheitsorganisationen auf den Plan rief.

 

Quelle: Technet Microsoft (Englisch)

Das könnte Sie auch interessieren

2 Antworten zu “Microsoft Schannel: Sicherheitslücke so schwerwiegend wie Heartbleed”

  1. yellowscorpion sagt:

    wäre es nicht sicherer sowas erst ein paar Tage nach der Verteilung bekannt zu geben? So wie bei einer laufenden Ermittlung bei der bestimmte Informationen noch zurückgehalten werden. Z.B. nur sagen „Es wird eine kritische Sicherheitslücke geschlossen“ und nicht wo und was genau.

  2. happyone sagt:

    Irgendwie kommen seit kurzen überall schwere Sicherheitslücken zum Vorschein.

Schreibe einen Kommentar

Teilen