Abo
  • IT-Karriere:

JavaScript-Befehl hebelt Microsofts Echtheitsprüfung aus

Zugriff auf Windows-Downloads auch ohne korrekte Lizenzierung

Die Anfang der Woche gestartete, nun verbindliche Echtheitsprüfung von Windows-Lizenzen beim Download von Software über Microsofts Webseiten wurde durch einen einfachen JavaScript-Befehl ausgehebelt. Zudem lässt sich der Mechanismus durch Modifikation einer DLL deaktivieren. Damit können Updates und Tools mit einer nicht korrekt lizenzierten Software wieder über Microsoft Update oder per Webseite heruntergeladen werden, ohne dass der Lizenzschlüssel der verwendeten Windows-Version geprüft wird.

Artikel veröffentlicht am ,

Wie das WebBlog Boing Boing berichtet, genügt vor dem Aufruf von Microsoft-Update die Eingabe eines einfachen JavaScript-Kommandos in die Adresszeile des Internet Explorers, um die Echtheitsprüfung zu umgehen. Der JavaScript-Befehl setzt dazu einen internen Cookie-Wert zurück. Dann überprüft die Update-Seite nicht mehr die verwendete Windows-Lizenz, so dass sich Tools und Updates für Windows 2000 und XP wie bisher ohne Prüfung laden lassen. Zudem teilt die Webseite WinInfo mit, dass parallel dazu ein Verfahren entdeckt wurde, den Mechanismus zu umgehen, indem zwei Bits in einer bestimmten Windows-DLL-Datei verändert werden. Für die Überprüfung der Windows-Lizenz verwendet Microsoft ein ActiveX-Control.

Stellenmarkt
  1. SYNGENIO AG, Hamburg, Bonn, Frankfurt am Main, Stuttgart, München
  2. Camelot ITLab GmbH, Mannheim

Die Überprüfung per 'Windows Genuine Advantage' wurde zu Beginn der Woche in Microsoft Update integriert und ist nun verbindlich, nachdem es in der Testphase auf freiwilliger Basis beruhte. Darüber soll man Software-Updates oder Windows-Erweiterungen nur noch dann erhalten, wenn der Anwender eine gültige Windows-Lizenz vorweisen kann. Ausgenommen von dieser Überprüfung sind generell alle sicherheitsrelevante Updates sowie Service Packs für Windows.

Als diese Funktion noch im Teststadium war, tauchten bereits zwei Verfahren auf, die Echtheitsüberprüfung zu umgehen. Wahlweise nutzte man die Daten einer lizenzierten Windows-Version oder verwendete Software zur Erzeugung der notwendigen Daten. Ob diese Umgehungen auch mit der aktuellen Version der Echtheitsprüfung noch funktionieren, ist derzeit nicht bekannt.



Anzeige
Top-Angebote
  1. 26,99€ (Release am 26. Juli)
  2. 129,90€
  3. 47,99€
  4. 339,00€

nicht wichtig 10. Nov 2005

Mannomann, was ich in diesen sogenannten Foren alles lesen muss ist schon, vorsichtig...

Brieftaube 30. Jul 2005

Wo ist den da der unterschied? 2 bits können genauso ausschlaggebend sein wie 2 Bytes!

Michael - alt 30. Jul 2005

Du hast vollkommen Recht. Ich bitte aber zu unterscheiden zwischen den theoretischen...

T. 29. Jul 2005

oh verdammt..da habe ibh doch die -tags vergessen ;D

Ausgewogenheit 29. Jul 2005

Deine Bemerkung nennt man "Schuß ins eigene Knie" Du freust Dich über Dein eigenes...


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.

  1. Satellitennavigation Galileo ist wieder online

    •  /