Abo
  • Services:
Anzeige

Unabhängigkeits-Tag für die Xbox? Aufschwung für Xbox-Linux

Veröffentlichte Sicherheitslücke im Xbox-Dashboard führt unsignierten Code aus

Eine Free-X getaufte Gruppe von "Xbox-Kopierschutz-Forschern" hat einen Weg gefunden, um auf einer nicht umgebauten Xbox beliebige Software auszuführen. Da Microsoft nicht für Gespräche über einen offiziell abgesegneten Xbox-Linux-Bootloader bereit gewesen sei, wurde die Sicherheitslücke und Beispielcode zu deren Ausnutzung nun veröffentlicht.

Anzeige

Die mittlerweile vom nicht mit Free-X verbandelten Xbox Linux Projekt erfolgreich überprüfte Sicherheitslücke findet sich im Dashboard - der beim Xbox-Start geladenen Benutzeroberfläche. Normalerweise überprüft die Xbox bei zu ladenden Dateien einen intern gespeicherten SHA1-Hash-Wert, nur beim Dashboard hat Microsoft laut Free-X übersehen, dies auch bei Audio- (.WAV) als auch bei Schriftart-Dateien (.XTF) durchzuführen. Bringt man die Xbox nun dazu, entsprechend veränderte Daten zu laden, kann ein Puffer-Unterlauf erzeugt werden und danach - vom Sicherheitssystem der Xbox unbehelligt - beliebiger Code ausgeführt werden.

Mit einem im Netz veröffentlichten Beispielcode wurde dies auch schon demonstriert. Er soll mit bisher allen veröffentlichten Xbox- und Dashboard-Versionen laufen. Dabei müssen zwei Schrift-Dateien im Font- oder Hauptverzeichnis (je nach Dashboard-Version) umbenannt, durch die Dateien "ernie.xtf" und "bert.xtf" ersetzt werden und danach noch eine entsprechend präparierte "default.xbe"-Startdatei - eine Kopie von xbeboot - in das Hauptverzeichnis kopiert werden, um schließlich Linux damit installieren zu können.

Da das Dashboard seine Schriftarten gleich nach der Xbox-Startanimation lädt, soll dafür nicht einmal Nutzerinteraktion vonnöten sein. Während mittels der Sicherheitslücke nicht-autorisierter Code gestartet wird, soll nur ein Teil des Dashboard-Hintergrunds zu sehen sein.

Um den Beispielcode in die Xbox zu bekommen, gibt es derzeit nur zwei Möglichkeiten: Entweder man baut die Xbox-Festplatte aus, verliert seine Garantie und kopiert die Daten mittels PC auf diese. Oder man nutzt einen Fehler in den Spielen 007 oder MechAssault, um zuvor mittels Zubehör auf eine Speicherkarte gepackte Dateien auf die Xbox zu kopieren. Allerdings gibt es derzeit noch keine einfache Möglichkeit, Linux danach auch wieder von der Xbox zu entfernen und das Grundsystem wieder herzustellen.

Können im Moment nur Xbox-Linux-Fans von dieser Xbox-Lücke profitieren, so wird es nicht mehr lange dauern, dass durch Veränderung am Beispielcode auch andere unsignierte Programme ausführbar werden. Das bedeutet wohl nicht nur Hoffnung für nichtkommerzielle Software-Projekte, welche die Xbox etwa zum netzwerkfähigen DivX-Player wandeln, sondern leider auch für Raubkopierer. Genau diese wollte das Free-X-Team eigentlich draußen halten, als man - auch über ZDNet Australien - versuchte, in Gespräche mit Microsoft zu treten. Erst als kein Interesse seitens des Redmonder Softwareriesen sichtbar wurde, habe man sich entschlossen, die Sicherheitslücke publik zu machen - passend zum heutigen 4. Juli 2003, dem US-amerikanischen Unabhängigkeitstag.


eye home zur Startseite
TutNixZurSache 11. Jul 2003

Was hast Du geraucht? Diese Beschreibung ist von vorne bis hinten Blödsinn und trifft...

Rika 10. Jul 2003

Pufferunterläufe sind wie Pufferüberläufe... Nur dass der Code halt VOR dem Puffer...

Nero 08. Jul 2003

MS ist ja nicht der einzigste Konzern der die entwicklung vorantreibt ohne die...

MDC 08. Jul 2003

was TCPA angeht weiss ich auch noch net so recht... wenn man sich offizielle Berichte in...

Wildecker 07. Jul 2003

Im Vergleich zu vielen anderen sehe ich das Palladium Problem nicht so gelassen. Ich...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, verschiedene Einsatzorte
  2. STRENGER Bauen und Wohnen GmbH, Ludwigsburg
  3. operational services GmbH & Co. KG, Berlin, Frankfurt am Main
  4. iXus GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 19,99€ (Vorbesteller-Preisgarantie)
  3. 5,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie

  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: BQ Aquaris X5 Plus (~290¤)

    ve2000 | 03:20

  2. Re: Ist doch billiger

    plutoniumsulfat | 02:29

  3. Re: 30 Stunden auf Abruf ?!?

    plutoniumsulfat | 02:28

  4. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    plutoniumsulfat | 02:21

  5. Re: Die werden ihn wohl ausliefern

    Danijoo | 01:57


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel