SandboxEscaper hat eine neue Sicherheitslücke entdeckt, die unter Windows 10 dazu führt, dass man über die ReadFile.exe Daten von bestimmten Orten aus lesen kann. Der Fehler selber liegt in der Funktion „MsiAdvertiseProduct„, die es Microsoft ermöglicht ein Werbeskript zu generieren oder ein Produkt anzukündigen und dem Installer die Möglichkeit gibt, die Registrierungs- und weitere Informationen einzugeben.
Dadurch wird eine Dateikopie durch den Installer-Dienst erstellt, welche nun auch durch Angreifer gesteuert werden können. Somit können beliebige Dateien mit System-Rechten kopiert und ausgelesen werden. Wie SandboxEscaper schreibt, lässt sich das mit zwei lokalen Konten ausprobieren, um die desktop.ini auf dem anderen Konto zu lesen.
0patch, bekannt für temporäre Fixes bei Zero-Day-Schwachstellen hat inzwischen diesen Fehler bestätigt. Das Problem an der Geschichte ist, dass SandboxEscaper nun schon die dritte Schwachstelle in vier Monaten gefunden hat, ohne Microsoft zu benachrichtigen und einen Exploit bereitgestellt hat.
Kann also durchaus passieren, dass Microsoft noch vor Weihnachten ein weiteres Sicherheitsupdate verteilt, nachdem gerade erst gestern ein Exploit im Internet Explorer geschlossen hatte.
Hier noch das Video dazu, welches zeigt, wie die Lücke ausgenutzt werden kann.
Die letzen Patches für die bei mir in ihren Eckchen ruhenden IEs sind schon durch, neue können kommen. Vor Weihnachten oder nach Weihnachten – es gerät mittlerweile zur Routine. Vielleicht gleich noch Wünsche für 2019?!
„Keine Woche ohne Patches von MS – auch der „A“-Termin wäre noch frei…“
„die es Microsoft ermöglicht ein Werbeskript zu generieren“? Ganz ehrlich, wenn man mit der API-Dokumentation nichts anfangen kann sollte man vielleicht einfach auf die Originaldokumentation verlinken anstatt sich hier mit völlig aus der Luft gegriffenen Übersetzungen zu blamieren.
Trifft leider auf viele Übersetzungen hier zu. Geholfen ist damit niemandem.
ich kenne nicht die Originalfassung. Wie müsste Deiner Meinung nach die richtige Übersetzung lauten?
Die Originalfassung ist verlinkt. Ich würde das in diesem Zusammenhang aber gar nicht erst übersetzen, da es für einen allgemein gehaltenen Artikel viel zu sehr ins Detail geht. Sollte sich wirklich jemand über die Details einer bestimmten API-Funktion informieren wollen wird er sich erstmal mit der Originalfassung auseinandersetzen müssen, da die englischsprachige API-Dokumentation nunmal die einzige verbindliche Quelle ist. Bei Verständnisschwierigkeiten würde ich mich dann allerdings eher an ein deutschsprachiges Programmierforum wenden als an eine Nachrichtenseite.
Ganz allgemein formuliert würde ich nur etwas schreiben wie „bei der Verarbeitung von MSI-Paketen wird durch den Aufruf von MsiAdvertiseProduct […] eine Dateikopie erstellt, welche…“. Hier derartig ins Detail zu gehen schießt meiner Meinung nach weit über das Ziel hinaus.