Microsoft Windows hat eine schwere Sicherheitslücke im IPv6-Netzwerkstack. Diese Schwachstelle betrifft alle Windows-Versionen, mutmaßlich rückwirkend bis Windows Vista. Diese Sicherheitslücke erlaubt es einem Angreifer, ein System nur durch das Übersenden eines präparierten Datenpaketes über das Netzwerk zu übernehmen und beliebigen Code darauf auszuführen. Dazu ist anders als bei anderen Sicherheitslücken keine Interaktion durch den Anwender erforderlich. Fachleute sprechen hier von einer „Zero Click“- Lücke. Diese gehört zu den gefährlichsten Sicherheitslücken, die es gibt.
Kein Workaround verfügbar
Einen Workaround gibt es nicht, abgesehen vom Deaktivieren von IPv6. Eine Lösung ist das jedoch auch nicht. Diese besteht ausschließlich in der Installation eines Patches.
Dieser lässt sich per Windows Update installieren; jedoch nur für Windows Server 2008 SP2, Server 2008R2, Windows Server 2016 und Server 2022.
Unter den Desktop-Systemen erhalten nur Windows 11 und einige Versionen von Windows 10 das Update. Die Windows-Versionen Vista, 7 und 8 erhalten das Update nicht und bleiben damit angreifbar.
Alte Desktop-Systeme bleiben verwundbar
Das ist insofern eine interessante Entscheidung von Microsoft, als dass die Server-Betriebssysteme auf derselben Technologie basieren, wie die Desktop-Betriebssysteme und damit technisch gesehen in vielen Bereichen identisch sind. Zum Vergleich: Windows Server 2008 und Server 2008R2 werden bereits seit langem nicht mehr von Microsoft unterstützt, erhalten aber den Patch; Windows Vista und Windows 7 erhalten das Update jedoch nicht mehr.
GiveWP maximal angreifbar
Wordpress ist eines der am weitesten verbreiteten Content Management Systeme für Webseiten. Da viele Webseiten sich auch aus Spenden finanzieren, haben die Betreiber oft Plugins mit installiert, die es Besuchern ermöglichen, Geldbeträge für Dinge wie Servermiete oder die Webseitenbetreuung zu spenden. Eines dieser Plugins ist „GiveWP“. Hier ist eine Sicherheitslücke vorhanden, die es nicht nur ermöglicht, beliebigen Code auf dem Serversystem auszuführen, sondern auch Daten beliebig zu löschen. Diese Sicherheitslücke hat den Höchstwert von 10 auf der CVE-Kritikalitätsskala. Nutzt ein Angreifer diese Sicherheitslücke, könnte er die Webseite nach Belieben vom Netz nehmen, verändern und auch Daten von Spenderinnen und Spendern exponieren. Auch hier ist keine Interaktion eines Wordpress-Administrators erforderlich; ein Ausnutzen der Schwachstelle ist ohne Authentifizierung möglich.
Ein Update, das die Sicherheitslücke schließt, steht zur Verfügung und sollte schnellstmöglich installiert werden.
Die Sicherheitslücke wurde in einem Responsible Disclosure-Prozess an Wordpress gemeldet; der Sicherheitsforscher, der die Lücke entdeckt hat, erhielt dafür eine Bug Bounty von 4.998 US-Dollar.