[FONT="]Gezielte Pufferüberläufe sind die häufigste Angriffstechnik von digitalen Schädlingen. Windows 7 ergänzt die bisherigen Maßnahmen im User-Kontext durch Safe Unlinking im Kernel-Pool.[/FONT]
[FONT="]Microsoft hat in Zusammenarbeit mit den CPU-Herstellern bereits eine Reihe von Sicherheitsfunktionen für den Benutzer-Kontext (User Mode, Ring 3) in Windows integriert - etwa die Data Execution Prevention (No-Execute-Bit), die Stack Protection oder ab Windows Vista die Address Space Layout Randomization. Es handelt sich dabei allesamt um Techniken, die Code-Ausführung nach Pufferüberläufen zu erschweren, also den Programmieraufwand für Angreifer signifikant zu erhöhen. Einen ähnlichen Schutz bekommt unter Windows 7 nun auch der Kernel-Kontext (Kernel Mode, Ring 0). [/FONT]
[FONT="]Safe Unlinking[/FONT][FONT="]: Technisch entsprechen Pool-Overruns im Kernel den Pufferüberläufen im User-Kontext - beides kann theoretisch beliebigen eingeschleusten Code auslösen und damit zur Fremdkontrolle des Systems führen. Gezielte Pool-Overruns im Kernel-Kontext erfordern aber höhere Kenntnisse und sind außerdem schon deshalb viel seltener, weil der Kernel-Pool zum Großteil von Profis (Treiber, Systemdienste) und von Microsoft selbst stammt (NT-Kernel, Systemdienste wie Sitzungsmanager oder Authentifizierungsdienst), während sich im User-Kontext Programme und Tools von zig-Tausenden professioneller wie dilettantischer Entwickler tummeln können. [/FONT]
[FONT="]Die unter Windows 7 neue Methode "Safe Unlinking" für den Kernel-Kontext vollzieht immer einen ganz simplen Pointervergleich, bevor ein Speichersegment für neuen Code freigegeben wird. Das genügt, gängige Exploit-Techniken auszuschalten und Hackern das Einschleusen von Code wesentlich zu erschweren. Der wirksame, aber relativ einfache Vergleich führt laut Microsoft zu keinen Leistungseinbußen, obwohl diese zusätzlichen Instruktionen während einer Windows 7-Sitzung millionenfach ausgeführt werden.[/FONT]
[FONT="]Microsoft erläutert die neue Kernel-Sicherheitsfunktion tief versteckt im
[FONT="]Microsoft hat in Zusammenarbeit mit den CPU-Herstellern bereits eine Reihe von Sicherheitsfunktionen für den Benutzer-Kontext (User Mode, Ring 3) in Windows integriert - etwa die Data Execution Prevention (No-Execute-Bit), die Stack Protection oder ab Windows Vista die Address Space Layout Randomization. Es handelt sich dabei allesamt um Techniken, die Code-Ausführung nach Pufferüberläufen zu erschweren, also den Programmieraufwand für Angreifer signifikant zu erhöhen. Einen ähnlichen Schutz bekommt unter Windows 7 nun auch der Kernel-Kontext (Kernel Mode, Ring 0). [/FONT]
[FONT="]Safe Unlinking[/FONT][FONT="]: Technisch entsprechen Pool-Overruns im Kernel den Pufferüberläufen im User-Kontext - beides kann theoretisch beliebigen eingeschleusten Code auslösen und damit zur Fremdkontrolle des Systems führen. Gezielte Pool-Overruns im Kernel-Kontext erfordern aber höhere Kenntnisse und sind außerdem schon deshalb viel seltener, weil der Kernel-Pool zum Großteil von Profis (Treiber, Systemdienste) und von Microsoft selbst stammt (NT-Kernel, Systemdienste wie Sitzungsmanager oder Authentifizierungsdienst), während sich im User-Kontext Programme und Tools von zig-Tausenden professioneller wie dilettantischer Entwickler tummeln können. [/FONT]
[FONT="]Die unter Windows 7 neue Methode "Safe Unlinking" für den Kernel-Kontext vollzieht immer einen ganz simplen Pointervergleich, bevor ein Speichersegment für neuen Code freigegeben wird. Das genügt, gängige Exploit-Techniken auszuschalten und Hackern das Einschleusen von Code wesentlich zu erschweren. Der wirksame, aber relativ einfache Vergleich führt laut Microsoft zu keinen Leistungseinbußen, obwohl diese zusätzlichen Instruktionen während einer Windows 7-Sitzung millionenfach ausgeführt werden.[/FONT]
[FONT="]Microsoft erläutert die neue Kernel-Sicherheitsfunktion tief versteckt im
Sie müssen registriert sein, um Links zu sehen.
. Weitere grundlegende technische Informationen finden sich im englischsprachigen Wikipedia-Beitrag
Sie müssen registriert sein, um Links zu sehen.
.[/FONT]
