Abo
  • Services:

Buffer Overflow

Kritische Sicherheitslücke in Windows (Update)

Das Arkon-Blog hat eine Sicherheitslücke in Windows veröffentlicht, mit der sich möglicherweise fremder Code auf Windows-Systemen ausführen lässt. Betroffen ist auch Windows 7 mit aktuellen Patches.

Artikel veröffentlicht am ,

Die im Arkon-Blog unter der Überschrift Heapos Forever veröffentlichte Sicherheitslücke wurde mittlerweile von Sicherheitsunternehmen bestätigt, darunter Vupen und Secunia. Demnach erlaubt die Sicherheitslücke eine Ausweitung der Rechte des aktuellen Nutzers, möglicherweise aber auch das Ausführen von fremdem Code auf verwundbaren Systemen.

Stellenmarkt
  1. Technische Universität Darmstadt, Darmstadt
  2. Bosch Gruppe, Stuttgart-Vaihingen

Der Fehler steckt in der Datei win32k.sys und tritt innerhalb der Funktion CreateDIBPalette() auf, wenn Farbwerte in einen zuvor mit fester Länge angelegten Puffer kopiert werden. Ausnutzen lässt sich dies dann über die Funktion GetClipboardData(), wenn eine große Zahl an Farben angefordert wird.

Secunia und Vupen bestätigen die Sicherheitslücke für alle vollständig gepatchten Systeme mit Windows XP SP3, Windows Server 2003 R2 Enterprise SP2, Windows Vista Business SP1, Windows 7 und Windows Server 2008 SP2, also alle aktuell unterstützten Windows-Versionen.

Ein Patch für das Problem existiert derzeit nicht. Microsoft hat für den 10. August 2010 die Veröffentlichung von 14 Patches angekündigt, mit denen 34 Sicherheitslücken in Microsoft-Produkten geschlossen werden sollen. Ob die von Arkon gemeldete Lücke darunter ist, ist derzeit nicht bekannt.

Nachtrag vom 7. August 2010, 18:30 Uhr:

Dass sich die Sicherheitslücke zum Ausführen von Code eignet, bezweifelt deren Entdecker Gil Dabah alias Arkon in Reaktion auf die Security-Advisorys von Vulpen und Secunia. Es sei nicht trivial, Code auszuführen, auch da jedes vierte Byte, das kopiert, den Wert 4 habe. Arkon geht davon aus, dass es unmöglich ist, die Schwachstelle für einen Exploit zu nutzen, der Code ausführt. Daher habe er die Sicherheitslücke auch ohne Bedenken veröffentlicht. Verhindern lasse sich das Problem, indem der Zugriff auf die Zwischenablage oder das Ändern der Bildschirmauflösung deaktiviert wird.



Anzeige
Top-Angebote
  1. (u. a. Logitech G703 für 66€ und Fallout 4 für 9,99€)
  2. 148,60€ (Vergleichspreis 159,99€)
  3. 141,60€ (Vergleichspreis 163,85€)
  4. 4€

albert einspruch 09. Aug 2010

Ja in eurer idealen Linuxtraumwelt vielleicht, aber nicht in der Realität.

0xDEADC0DE 09. Aug 2010

Man muss nur eine Routine schreiben die die beiden Bytes mit Nutzdaten/-code...

fragestellung 09. Aug 2010

Sie hatte Argumente geschrieben, nicht Fakten. Sie reiht halt Fehler an Fehler... ;)

Brainfreeze 09. Aug 2010

So schlecht war meine Grammatik bzw. der Satzbau nun auch wieder nicht.

au weia 09. Aug 2010

Verschwende doch nicht Deinen Atem an die Kinder die hier sogar bei Betriebssystemen...


Folgen Sie uns
       


Smartphones Made in Germany - Bericht

Gigaset baut Smartphones - in Deutschland.

Smartphones Made in Germany - Bericht Video aufrufen
Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

Leckere neue Welt: Die Stadt wird essbar und smart
Leckere neue Welt
Die Stadt wird essbar und smart

Obst und Gemüse von der Stadtmauer. Salat und Kräuter aus dem Stadtpark. In essbaren Städten sprießt und gedeiht es, wo sonst Hecken wuchern und Geranien blühen. In manchen Metropolen gibt es gar sprechende Bänke, denkende Mülleimer und Gewächshochhäuser.
Ein Bericht von Daniel Hautmann

  1. IT-Sicherheit Angriffe auf Smart-City-Systeme können Massenpanik auslösen

Galaxy Note 9 im Test: Samsung muss die Note-Serie wiederbeleben
Galaxy Note 9 im Test
Samsung muss die Note-Serie wiederbeleben

Samsung sieht bei der Galaxy-Note- und der Galaxy-S-Serie immer noch unterschiedliche Zielgruppen - mit dem Note 9 verschwimmen die Unterschiede zwischen den Serien für uns aber weiter. Im Test finden wir bis auf den Stift zu wenig entscheidende Abgrenzungsmerkmale zum Galaxy S9+.
Ein Test von Tobias Költzsch

  1. Galaxy Home Samsung stellt smarten Bixby-Lautsprecher vor
  2. Galaxy Watch im Hands on Samsungs neue Smartwatch soll bis zu 7 Tage lang durchhalten
  3. Galaxy Note 9 im Hands On Neues Note kommt mit großem Akku und viel Speicherplatz

    •  /