Googles Sicherheitsforscher beschäftigen sich nicht nur mit den Produkten aus dem eigenen Haus, sondern sind auch in anderen weit verbreiteten Apps der großen Unternehmen ständig auf der Suche nach Sicherheitslücken. Jetzt haben sie einen vermeintlich großen Fang gemacht, denn durch eine Lücke im Windows-Standardtool Notepad ist es einem Angreifer potenziell möglich, die Kontrolle über den Rechner des Nutzers zu übernehmen.
Das Ziel von Googles Project Zero ist es, den digitalen Alltag so sicher wie möglich zu gestalten – und das auch über die eigenen Grenzen hinaus. Dabei stehen regelmäßig auch weit verbreitete Produkte der Konkurrenz auf den Prüfstand und fallen immer wieder mal durch Sicherheitslücken auf, die die Unternehmen selbst nicht entdeckt haben. Erst kürzlich entdeckten sie zwei dringende Sicherheitslücken in WhatsApp und auch in Apples Mac OS.
Einem Mitglied von Googles Project Zero-Team ist es nun gelungen über den Windows-Texteditor Notepad eine Kommandozeile zu öffnen und somit Zugriff auf den Computer des Nutzers zu erhalten. Möglich wird das durch einen bisher unentdeckten Speicherfehler, wobei aktuell aber noch nicht bekannt ist, wie dieser ausgelöst werden kann. Ob eine manipulierte Textdatei ausreicht, was natürlich der Worst Case wäre, oder der Angreifer den Nutzer zu weiteren Schritten bringen muss, ist noch nicht bekannt.
Am I the first person to pop a shell in notepad?
….believe it or not, It's a real bug! pic.twitter.com/t2wTh7E93p — Tavis Ormandy (@taviso) May 28, 2019
Googles Team hat den Fehler an Microsoft gemeldet und wird diesen, so wie üblich, nach einer Frist von 90 Tagen veröffentlichen. Für Microsoft sollte das genügend Zeit sein, die doch sehr simple App zu aktualisieren. Problematisch ist allerdings, dass Notepad unter verschiedenen Bezeichnungen bereits seit dem Jahr 1983 Bestandteil von Windows ist (eigentlich erst seit 1985, da damals die erste offizielle Version ausgeliefert wurde). Wie weit der Bug also zurückreicht, bleibt abzuwarten. Da es sich um DAS Standard-Tool in Windows handelt, das auf einer Stufe mit Paint steht, könnte das noch sehr ärgerlich werden.
Siehe auch
» Titan Security Key: Google entdeckt Sicherheitslücke in Sicherheitsschlüssel – Betroffene erhalten Ersatz