Via Twitter verkündeten zwei Google-Security-Spezialisten gestern, sie hätten bei Microsoft wahrscheinlich "die schlimmste Code-Ausführungs-Lücke der letzten Zeit" gefunden. Die beiden, Tavis Ormandy und Natalie Silvanovich aus Googles Security-Team namens Project Zero, neigen eher zu spektakulären Funden als zu grossen Worten, glaubt 'Heise'. Details nannten sie nicht, was zu Spekulationen Anlass gab.

Diese Spekulationen sind Geschichte, ebenso die Lücke. Bereits in der Nacht auf heute kam von Microsoft der Patch, so das Security-Bulletin der Redmonder. Dieses Update der Microsoft Malware Protection Engine erfolgt automatisch. Administratoren sollten ihre Aktualisierungseinstellungen überprüfen und nötigenfalls ändern, damit das Update eingespielt werden kann.

In jedem Falle lohnt sich zu überprüfen, ob man tatsächlich Version 1.1.13704.0 einspielt, welche die Lücke schliesst.

Offenbar war die Sicherheitslücke hochkritisch, fand sie sich doch in der Virenscanner-Engine, die seit Windows 8 als "Defender" fixer Teil des Betriebssystems ist. Die Lücke betraf aber auch diverse weitere Produkte.

Die Schwachstelle wird unter dem Kürzel CVE-2017-0290 geführt und ermöglichte ganz unterschiedliche Attacken, wie 'Heise' nun berichtet. (mag)