Ein Entdeckter Fehler führt zu Diskussionen
Microsoft hat eine problematische Sicherheitslücke im Dienst "Xbox GamingService" bestätigt und mit einer Aktualisierung behoben. Ein Hin & Her darüber ob die Schwachstelle bedrohlich sei gab es zuvor. Filip Dragović stieß auf diese Lücke und teilte seine Entdeckung über Github mit, inklusive eines Demonstrations-Exploits. Dieser Fehler ermöglichte es Nutzern, mit eingeschränkten Rechten an höchste SYSTEM-Rechte zu gelangen was mit einem hohen Risiko bewertet wurde (CVE-2024-28916, CVSS 8.8).
Microsofts anfängliche Reaktion bleibt skeptisch
Microsoft zeigte sich zunächst unbeeindruckt von Dragovićs Hinweisen und argumentierte, dass keine Sicherheitsgrenze überschritten worden sei. Doch der IT-Sicherheitsforscher Will Dormann unterstützte Dragović und kritisierte diese Einschätzung öffentlich. Die Möglichkeit für nicht-administrative Nutzer, SYSTEM-Rechte zu erlangen müsse ernst genommen werden so Dormann.
Kehrtwende erfolgt dank Unterstützung
Nachdem die Angelegenheit neu bewertet wurde, änderte Microsoft seine Meinung und erkannte die Schwere der Bedrohung an. Dieser Wandel in der Beurteilung erfolgte nach weiteren Prüfungen durch Microsofts Sicherheitsteam. Dragović zeigte sich über diesen Sinneswandel amüsiert und teilte die Nachricht von Microsoft mit der Community.
Automatische Aktualisierung behebt das Problem
Microsoft reagierte mit der Freigabe eines Updates, das knapp unter der kritischen Risikobewertung (CVSS-Wert 8.8) liegt. Die Beseitigung der Schwachstelle erfolgte durch die Version 19.87.13001.0 und neuere welche automatisch verteilt werden sollte. Nutzende können die Installation durch die Suche nach Updates in Windows Update beschleunigen und die Version mit einem spezifischen Befehl in der Windows Powershell überprüfen.
Kommentare