Microsoft machtlos

Sicherheitslücke betrifft immer mehr PC-Programme

(Bild: AP)

Eine grundlegende Sicherheitslücke auf Windows-PCs, die von Microsoft nicht zentral beseitigt werden kann, betrifft immer mehr Anwenderprogramme wie Powerpoint, Photoshop, Dreamweaver und Firefox. Der Windows-Hersteller wies am Donnerstag auf eine Sicherheits-Empfehlung hin, mit der Systemadministratoren das Risiko verringern können, Opfer eines Angriffs zu werden.

Die gravierende Sicherheitslücke betrifft die als DLL (Dynamic Link Libary) bezeichneten Programm-Bausteine, die sich auf einem Windows-PC mehrere Softwarepakete teilen. Durch eine unzureichende Überprüfung beim Nachladen von externen DLLs (Dynamic Link Library) ist es möglich, betroffenen Anwendungen Programmcode unterzuschieben, den Angreifer für Attacken auf den PC ausnutzen können. Diese unautorisierten Programm-Bausteine könnten dann auf dem Rechner mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Die DLLs können über Netzlaufwerke und USB-Sticks verteilt werden. Damit ist es Angreifern vergleichsweise einfach möglich, die Anwender auf gefährliche Web-Sites zu lenken oder sie zum Anklicken von manipulierten Dokumenten zu bewegen.

"Kernproblem von Windows" nicht einfach zu lösen
"Es handelt sich meiner Ansicht nach um ein Kernproblem von Windows", sagte Mat Aharoni, Gründer der Sicherheitsfirma Offensive Security dem Fachdienst CNET. "Um diese Lücke zu schließen, müsste man komplett das Verfahren ändern, wie Windows die DLLs lädt. Und das ist sehr, sehr schwierig und würde zweifelsohne dazu führen, dass viele Programme dann überhaupt nicht mehr laufen."

Apple konnte Sicherheitslücke beseitigen
Der Fehler war zuerst aufgefallen, als der Sicherheitsdienstleister Acros das problematische DLL-Verhalten in der Apple-Musiksoftware iTunes für Windows entdeckte. Bald stellte sich heraus, dass es sich um eine grundlegende Sicherheitslücke handelt, die von jedem einzelnen Softwarehersteller geschlossen werden muss. Apple hat die Schwachstelle inzwischen beseitigt.