Abo
  • IT-Karriere:

Buffer Overflow

Kritische Sicherheitslücke in Windows (Update)

Das Arkon-Blog hat eine Sicherheitslücke in Windows veröffentlicht, mit der sich möglicherweise fremder Code auf Windows-Systemen ausführen lässt. Betroffen ist auch Windows 7 mit aktuellen Patches.

Artikel veröffentlicht am ,

Die im Arkon-Blog unter der Überschrift Heapos Forever veröffentlichte Sicherheitslücke wurde mittlerweile von Sicherheitsunternehmen bestätigt, darunter Vupen und Secunia. Demnach erlaubt die Sicherheitslücke eine Ausweitung der Rechte des aktuellen Nutzers, möglicherweise aber auch das Ausführen von fremdem Code auf verwundbaren Systemen.

Stellenmarkt
  1. CodeCamp:N GmbH, Nürnberg
  2. Amt für Statistik Berlin-Brandenburg, Potsdam

Der Fehler steckt in der Datei win32k.sys und tritt innerhalb der Funktion CreateDIBPalette() auf, wenn Farbwerte in einen zuvor mit fester Länge angelegten Puffer kopiert werden. Ausnutzen lässt sich dies dann über die Funktion GetClipboardData(), wenn eine große Zahl an Farben angefordert wird.

Secunia und Vupen bestätigen die Sicherheitslücke für alle vollständig gepatchten Systeme mit Windows XP SP3, Windows Server 2003 R2 Enterprise SP2, Windows Vista Business SP1, Windows 7 und Windows Server 2008 SP2, also alle aktuell unterstützten Windows-Versionen.

Ein Patch für das Problem existiert derzeit nicht. Microsoft hat für den 10. August 2010 die Veröffentlichung von 14 Patches angekündigt, mit denen 34 Sicherheitslücken in Microsoft-Produkten geschlossen werden sollen. Ob die von Arkon gemeldete Lücke darunter ist, ist derzeit nicht bekannt.

Nachtrag vom 7. August 2010, 18:30 Uhr:

Dass sich die Sicherheitslücke zum Ausführen von Code eignet, bezweifelt deren Entdecker Gil Dabah alias Arkon in Reaktion auf die Security-Advisorys von Vulpen und Secunia. Es sei nicht trivial, Code auszuführen, auch da jedes vierte Byte, das kopiert, den Wert 4 habe. Arkon geht davon aus, dass es unmöglich ist, die Schwachstelle für einen Exploit zu nutzen, der Code ausführt. Daher habe er die Sicherheitslücke auch ohne Bedenken veröffentlicht. Verhindern lasse sich das Problem, indem der Zugriff auf die Zwischenablage oder das Ändern der Bildschirmauflösung deaktiviert wird.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 469,00€
  3. 177,90€ + Versand (Bestpreis!)
  4. 72,99€ (Release am 19. September)

albert einspruch 09. Aug 2010

Ja in eurer idealen Linuxtraumwelt vielleicht, aber nicht in der Realität.

0xDEADC0DE 09. Aug 2010

Man muss nur eine Routine schreiben die die beiden Bytes mit Nutzdaten/-code...

fragestellung 09. Aug 2010

Sie hatte Argumente geschrieben, nicht Fakten. Sie reiht halt Fehler an Fehler... ;)

Brainfreeze 09. Aug 2010

So schlecht war meine Grammatik bzw. der Satzbau nun auch wieder nicht.

au weia 09. Aug 2010

Verschwende doch nicht Deinen Atem an die Kinder die hier sogar bei Betriebssystemen...


Folgen Sie uns
       


Days Gone - Fazit

In Days Gone sind wir als Rocker Deacon St. John im zerstörten Oregon unterwegs und erleben das ganz große Abenteuer.

Days Gone - Fazit Video aufrufen
Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    •  /