Es gibt einen neuen Patch für Windows 10, aber dieser ist nicht von Microsoft

Bugs sind weit verbreitet und Microsoft behandelt sie normalerweise in ihrem Patch Tuesday. Es scheint jedoch, dass dieser spezielle Fehler seit einiger Zeit nicht behoben wurde, sodass Cybersicherheitsforscher das Bedürfnis verspürten, einen zu veröffentlichen.

Der ursprünglich im Jahr 2020 entdeckte Fehler hatte das Potenzial, die Form einer lokalen Privilegien-Schwachstelle anzunehmen, wurde aber seitdem übersehen.

Auch Mitja Kolsek, der Gründer des Micro-Patch-Dienstes 0patch, ignorierte die Schwachstelle, da sie damals nicht kritisch genug war.

Eskalation

Kolsek wird derzeit als CVE-2021-24084 verfolgt und weist darauf hin, dass es sich um eine behobene Sicherheitsanfälligkeit von Windows zur Rechteausweitung handelt, die als CVE 2021-36934 verfolgt wird. Unter bestimmten Bedingungen kann es eine willkürliche Dateioffenlegung haben und für die lokale Rechteausweitung aktualisiert werden.

Hässliche Windows 10-Sicherheitslücke bekommt einen Patch, aber nicht von Microsoft https://t.co/qP19hMUEzk

— ComputerExpertOnline (@PC_ExpertOnline) 29. November 2021

Fehler-Upgrade

Bereits im November, als der Fehler noch nicht behoben war, wies Abdelhamid in seinem Twitter dass es sich eher um eine lokale Sicherheitslücke bei der Rechteausweitung als um ein Problem mit der Offenlegung von Informationen handeln könnte.

Kolsek bestätigte dies später mit einem in a. beschriebenen Verfahren Blogeintrag von Raj Chandel und erklärt, warum die Notwendigkeit entstand, den Fehler zu beheben.

Obwohl der Patch inoffiziell ist, funktioniert er auf allen betroffenen Versionen von Windows 10. Noch besser ist, dass es kostenlos ist, bis Microsoft den offiziellen Fix veröffentlicht.

Sind Sie auf den bösen Fehler gestoßen und werden Sie den inoffiziellen Patch verwenden? Lassen Sie es uns im Kommentarbereich unten wissen.