Abo
  • Services:

JavaScript-Befehl hebelt Microsofts Echtheitsprüfung aus

Zugriff auf Windows-Downloads auch ohne korrekte Lizenzierung

Die Anfang der Woche gestartete, nun verbindliche Echtheitsprüfung von Windows-Lizenzen beim Download von Software über Microsofts Webseiten wurde durch einen einfachen JavaScript-Befehl ausgehebelt. Zudem lässt sich der Mechanismus durch Modifikation einer DLL deaktivieren. Damit können Updates und Tools mit einer nicht korrekt lizenzierten Software wieder über Microsoft Update oder per Webseite heruntergeladen werden, ohne dass der Lizenzschlüssel der verwendeten Windows-Version geprüft wird.

Artikel veröffentlicht am ,

Wie das WebBlog Boing Boing berichtet, genügt vor dem Aufruf von Microsoft-Update die Eingabe eines einfachen JavaScript-Kommandos in die Adresszeile des Internet Explorers, um die Echtheitsprüfung zu umgehen. Der JavaScript-Befehl setzt dazu einen internen Cookie-Wert zurück. Dann überprüft die Update-Seite nicht mehr die verwendete Windows-Lizenz, so dass sich Tools und Updates für Windows 2000 und XP wie bisher ohne Prüfung laden lassen. Zudem teilt die Webseite WinInfo mit, dass parallel dazu ein Verfahren entdeckt wurde, den Mechanismus zu umgehen, indem zwei Bits in einer bestimmten Windows-DLL-Datei verändert werden. Für die Überprüfung der Windows-Lizenz verwendet Microsoft ein ActiveX-Control.

Stellenmarkt
  1. Dr. Kaiser Diamantwerkzeuge GmbH & Co KG, Celle
  2. BWI GmbH, Bonn

Die Überprüfung per 'Windows Genuine Advantage' wurde zu Beginn der Woche in Microsoft Update integriert und ist nun verbindlich, nachdem es in der Testphase auf freiwilliger Basis beruhte. Darüber soll man Software-Updates oder Windows-Erweiterungen nur noch dann erhalten, wenn der Anwender eine gültige Windows-Lizenz vorweisen kann. Ausgenommen von dieser Überprüfung sind generell alle sicherheitsrelevante Updates sowie Service Packs für Windows.

Als diese Funktion noch im Teststadium war, tauchten bereits zwei Verfahren auf, die Echtheitsüberprüfung zu umgehen. Wahlweise nutzte man die Daten einer lizenzierten Windows-Version oder verwendete Software zur Erzeugung der notwendigen Daten. Ob diese Umgehungen auch mit der aktuellen Version der Echtheitsprüfung noch funktionieren, ist derzeit nicht bekannt.



Anzeige
Spiele-Angebote
  1. 31,99€
  2. (-8%) 54,99€
  3. 32,99€
  4. 5,99€

nicht wichtig 10. Nov 2005

Mannomann, was ich in diesen sogenannten Foren alles lesen muss ist schon, vorsichtig...

Brieftaube 30. Jul 2005

Wo ist den da der unterschied? 2 bits können genauso ausschlaggebend sein wie 2 Bytes!

Michael - alt 30. Jul 2005

Du hast vollkommen Recht. Ich bitte aber zu unterscheiden zwischen den theoretischen...

T. 29. Jul 2005

oh verdammt..da habe ibh doch die -tags vergessen ;D

Ausgewogenheit 29. Jul 2005

Deine Bemerkung nennt man "Schuß ins eigene Knie" Du freust Dich über Dein eigenes...


Folgen Sie uns
       


LG G8 Thinq - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das G8 Thinq vorgestellt. Das Smartphone kann mit Luftgesten gesteuert werden. Wir haben viele Muster in die Luft gemalt, aber nicht immer werden die Gesten korrekt erkannt.

LG G8 Thinq - Hands on (MWC 2019) Video aufrufen
Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten

    •  /