Microsoft hat eine Sicherheitslücke im Xbox Gaming Service bestätigt und eine Software-Aktualisierung veröffentlicht, die sie stopft. Dem gingen Diskussionen darüber voraus, ob es sich überhaupt um eine Sicherheitslücke handelt.
Die Schwachstelle hat Filip Dragović entdeckt und dazu einen Github-Eintrag mitsamt eines Proof-of-Concept-Exploits (PoC) veröffentlicht. Die Lücke betrifft den Dienst Xbox GamingService, der standardmäßig nicht aktiv ist, sondern in Windows etwa aus dem Microsoft Store nachinstalliert werden kann.
Wie Dragović ausführt, können Nutzerinnen und Nutzer mit niedrigen Rechten dadurch an SYSTEM-Rechte gelangen (CVE-2024-28916, CVSS 8.8, Risiko „hoch„). Von Microsoft bekam er als Reaktion auf die Schwachstellenmeldung als Antwort: Es scheint, dass hier keine Sicherheitsgrenze überschritten wurde („It appears, that no security boundary is being broken here“).