In einem chinesischen Forum ist ein Exploit für eine bislang unbekannte Sicherheitslücke im Kernel-Mode-Treiber win32k.sys von Windows aufgetaucht, wie Prevx berichtet. Durch die Lücke können Angreifer, die bereits in das System eingedrungen sind, ihre Rechte ausweiten, um etwa ein Rootkit tief im Betriebssystem zu verankern. Laut Prevx sind Windows XP, Vista und 7 betroffen, sowohl in der 32- als auch in der 64-bit-Version. Vupen berichtet, dass auch Windows Server 2008 SP2 auf diese Weise attackierbar ist.
Durch einen Stack Overflow in der Funktion NtGdiEnableEUDC kann der Angreifer dem System eine Rücksprungadresse unterschieben, die auf seinen Code verweist. Dadurch wird der hinterlegte Code mit Systemrechten ausgeführt. Microsoft arbeitet derzeit noch an einer Lösung, einen Patch gibt es nicht. Erst vor wenigen Tagen ist ein Exploit für eine seit längerem bekannte Lücke im Windows-Taskplaner aufgetaucht. Auch eine kritische Lücke im Internet Explorer bis Version 8 ist weiterhin ungepatcht. Für Letztere existieren immerhin diverse Hotfixes. Es ist bislang unklar, wann Microsoft die Schwachstellen ausbessert. Der nächste planmäßige Patchday ist für den 14. Dezember angesetzt. (rei)
QUELLE: http://www.heise.de/newsticker/meldung/Weitere-Zero-Day-Luecke-im-Windows-Kernel-1142125.html