Thema: Programmfehler in Sicherheitsfunktion von Windows XP SP2

[SiLæncer]

DEP-Mechanismus kann umgangen werden

Das russische Unternehmen MaxPatrol berichtet, dass sie einen Programmfehler im Service Pack 2 für Windows XP entdeckt haben, womit sich ein Sicherheitsmechanismus zur unberechtigten Ausführung von Programmcode umgehen lässt. Von dieser Entdeckung geht derzeit keine akute Gefährdung aus.

Die mit dem Service Pack 2 (SP2) in Windows XP eingeführte Funktion Data Execution Prevention (DEP) soll Anwender davor bewahren, dass Angreifer darüber Programmcode etwa über einen Buffer Overrun unberechtigt ausführen können. In dieser DEP-Umsetzung steckt nach Aussage von MaxPatrol ein Programmfehler, so dass der Schutz weniger wirksam ist als er sein müsste.

Nach MaxPatrol-Angaben sorgt der Programmfehler dafür, dass man Schreibzugriff auf einen eigentlich geschützten Speicherbereich von bis zu 1.016 Byte erhält und so schadhaften Programmcode ausführen und den DEP-Software-Mechanismus umgehen kann. Der Hardware-Mechanismus der Execution Protection (NX) ist von dem Fehler nicht betroffen, so dass sich diese nach derzeitigem Kenntnisstand nicht aushebeln lässt.

Obgleich die reale Gefahr durch den Programmfehler in der DEP-Implementierung nur gering ist, bietet MaxPatrol kostenlos eine Software namens PTmsHORP an, um diesen Programmfehler zu umgehen. MaxPatrol habe Microsoft Ende Dezember 2004 darüber informiert und nun entschieden, die betreffenden Erkenntnisse zu veröffentlichen.

Quelle : www.golem.de

[SiLæncer]

Auch hier nochmal :

Die mit Service Pack 2 für Windows XP eingeführte Datenausführungsverhinderung (Data Execution Protection, DEP) und Heap Protection lässt sich nach Angaben des russischen Software-Herstellers Positive Technologies aushebeln. DEP soll eigentlich das Ausführen von Code verhindern, der etwa durch einen Buffer Overflow eines fehlerhaften Programmes in den Speicher geschleust wurde, beispielsweise mit präparierten JPEG-Bildern. Zusätzlich soll die Heap Protection das Überschreiben von Speicherbereichen unterbinden. Durch einen bereits im Oktober entdeckten Fehler soll es aber möglich sein, bis zu 1016 Bytes in beliebige Speicherbereiche zu schreiben und trotz Schutzes auszuführen. In der Beschreibung zu dem Fehler haben die Autoren zwei Proof-of-Concept-Exploits aufgeführt.

Betroffen ist nur die Software-Version der Datenausführungsverhinderung, wie sie auf 32-Bit-Prozessoren ohne NX-Flag zum Einsatz kommt. Die hardwaremäßige Implementierung der DEP durch die No-Execution-Funktion moderner 64-Bit-Prozessoren schützt nach bisherigen Erkenntnissen weiterhin zuverlässig. Die Entdecker des Fehlers stufen das Risiko aber eher gering ein, da besondere Voraussetzungen erfüllt sein müssen, um ihn auszunutzen. Dennoch stellen sie das Tool PTmsHORP bereit, mit dem sich das Problem beheben lässt. Es setzt ein spezielles Flag, um die Verwendung und Manipulation sogenannter lookaside-Listen zu verhindern. Microsoft ist seit dem 22. Dezember über den Fehler informiert.

Quelle und Links : http://www.heise.de/newsticker/meldung/55738