1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Windows & IE8: Sicherheitsfunktionen ausgehebelt

Dieses Thema im Forum "PC&Internet News" wurde erstellt von Anderl, 10. März 2011.

  1. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.347
    Zustimmungen:
    99.643
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Windows & IE8: Sicherheitsfunktionen ausgehebelt

    Einem irischen Sicherheitsspezialisten ist es anlässlich des Pwn2Own-Wettbewerbs gelungen, die Sicherheitsmaßnahmen von Windows 7 und dem Internet Explorer 8 zu umgehen, um eigenen Code auszuführen.
    Wie '

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ' berichtet, konnte Stephen Fewer, der sich auf die Suche nach Schwachstellen in Windows spezialisiert hat, zwei verschiedene Zero-Day-Lücken im IE8 ausnutzen, um zuverlässig eigenen Code auszuführen. In der Folge gelang ihm unter Einbindung einer dritten Schwachstelle die Überwindung der Sandbox des geschützten Modus des Internet Explorer

    Bei seiner Attacke konnte Fewer die in Windows Vista und Windows 7 integrierten aufwändigen Sicherheitsfunktionen Data Execution Prevention (DEP) und Adress Space Layout Randomization (ASLR) erfolgreich umgehen. Damit sein Ansatz funktionierte, musste er allerdings die drei Lücken miteinander kombinieren.

    Technische Details zu den von Fewer ausgenutzten Schwachstellen wurden nicht genannt. Erst sobald Microsoft einen entsprechenden Patch bereit stellt, wird in diesem Fall ausführlich informiert. Der Sicherheitsdienstleister TippingPoint ZDI, Veranstalter des Pwn2Own-Wettbewerbs, besitzt die exklusiven Rechte an den Informationen zu den Schwachstellen.
    Fewer selbst erhielt für seinen erfolgreichen Hack einen Geldpreis in Höhe von 15.000 Dollar in Bar und einen neuen Windows-Laptop. Er musste vor dem Contest fünf bis sechs Wochen investieren, um die Lücken zu finden und einen Exploit zu schaffen, da für die Umgehung des geschützten Modus des IE8 seinen Angaben zufolge großer Aufwand nötig war.
    Aktuell gibt es nur einen einzigen öffentlich dokumentierten Weg zur Umgehung des geschützten Modus des Internet Explorer. Fewers Hack nutzte eine vollkommen neue Methode. Es gelang ihm unter anderem, eine beliebige Anwendung zu starten und in eine Datei zu schreiben, er hatte also volle Nutzerrechte auf dem Testsystem. [​IMG]


    Quelle: winfuture
     
    #1
    F-48 und Estrella gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.347
    Zustimmungen:
    99.643
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Windows & IE8: Sicherheitsfunktionen ausgehebelt

    Internet Explorer 9 von neuer Lücke nicht betroffen

    Microsoft hat nach Berichten über eine Umgehung der Sicherheitsmaßnahmen beim IE8 unter Windows 7 mit einer neuen Methode klargestellt, dass der Internet Explorer 9 von der Lücke nicht betroffen ist. Wie Microsofts Security Response Team über

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    verlauten ließ, habe man bei eigenen Tests festgestellt, dass die im Rahmen des Pwn2Own-Wettbewerbs ausgenutzte Schwachstelle des IE8 beim neuen Internet Explorer 9 nicht mehr besteht.
    Bei dem Angriff, der auf den Sicherheitsexperten Stephen Fewer zurückgeht, wurden zwei Schwachstellen in Windows 7 genutzt, mit denen zunächst die Schutzmechanismen Data Execution Prevention (DEP) und Address Space Layout Randomization (ASLR) umgangen wurden, um unter Ausnutzung einer dritten Lücke die Sandbox des geschützten Modus des IE8 zu überwinden, was die Ausführung eigenen Codes mit vollen Nutzerrechten erlaubte.
    Microsoft hatte erst vor kurzem verlauten lassen, dass man beim Internet Explorer 9 weiter in die Verbesserung der Sicherheitsmaßnahmen investiert hat. Die neue Version des Microsoft-Browsers soll am kommenden Montag (Ortszeit) anlässlich des South By Southwest (SXSW) Festivals in Austin, Texas offiziell veröffentlicht werden.


    Quell: winfuture
     
    #2
    F-48 und Estrella gefällt das.

Diese Seite empfehlen