Die Regeln haben sich geändert

Windows: Notepad startet Eingabeaufforderung

Meldung von doelf, Mittwoch der 05.06.2019, 12:49:04 Uhr

Der Sicherheitsforscher Tavis Ormandy von Googles Project Zero hat einen Weg gefunden, um die Windows-Eingabeaufforderung (cmd.exe) als Prozess vom Editor (notepad.exe) aus zu starten. Ormandy wertet dies als ernstzunehmende Sicherheitslücke und hat Microsoft bereits informiert.

Auf Twitter hat der Sicherheitsexperte einen Screenshot veröffentlicht, der die laufende Eingabeaufforderung dem Editor als Prozess zuordnet. Dies lässt vermuten, dass cmd.exe im Rechtekontext von notepad.exe ausgeführt wird. Unklar bleibt, ob Ormandy der Eingabeaufforderung Befehle übergeben kann und ob beim Aufruf eine Rechteausweitung möglich ist.

Gemäß der üblichen Verfahrensweise von Project Zero bleiben Microsoft 90 Tage Zeit (Stichtag ist der 28. Mai 2019), um den Fehler zu beseitigen. Erst danach werden Details genannt und vermutlich auch Beispiel-Code zum Ausnutzen der Schwachstelle bereitgestellt.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]