Original-URL des Artikels: https://www.golem.de/0507/39555.html    Veröffentlicht: 29.07.2005 10:24    Kurz-URL: https://glm.io/39555

JavaScript-Befehl hebelt Microsofts Echtheitsprüfung aus

Zugriff auf Windows-Downloads auch ohne korrekte Lizenzierung

Die Anfang der Woche gestartete, nun verbindliche Echtheitsprüfung von Windows-Lizenzen beim Download von Software über Microsofts Webseiten wurde durch einen einfachen JavaScript-Befehl ausgehebelt. Zudem lässt sich der Mechanismus durch Modifikation einer DLL deaktivieren. Damit können Updates und Tools mit einer nicht korrekt lizenzierten Software wieder über Microsoft Update oder per Webseite heruntergeladen werden, ohne dass der Lizenzschlüssel der verwendeten Windows-Version geprüft wird.

Wie das WebBlog Boing Boing berichtet, genügt vor dem Aufruf von Microsoft-Update die Eingabe eines einfachen JavaScript-Kommandos in die Adresszeile des Internet Explorers, um die Echtheitsprüfung zu umgehen. Der JavaScript-Befehl setzt dazu einen internen Cookie-Wert zurück. Dann überprüft die Update-Seite nicht mehr die verwendete Windows-Lizenz, so dass sich Tools und Updates für Windows 2000 und XP wie bisher ohne Prüfung laden lassen. Zudem teilt die Webseite WinInfo mit, dass parallel dazu ein Verfahren entdeckt wurde, den Mechanismus zu umgehen, indem zwei Bits in einer bestimmten Windows-DLL-Datei verändert werden. Für die Überprüfung der Windows-Lizenz verwendet Microsoft ein ActiveX-Control.

Die Überprüfung per 'Windows Genuine Advantage' wurde zu Beginn der Woche in Microsoft Update integriert und ist nun verbindlich, nachdem es in der Testphase auf freiwilliger Basis beruhte. Darüber soll man Software-Updates oder Windows-Erweiterungen nur noch dann erhalten, wenn der Anwender eine gültige Windows-Lizenz vorweisen kann. Ausgenommen von dieser Überprüfung sind generell alle sicherheitsrelevante Updates sowie Service Packs für Windows.

Als diese Funktion noch im Teststadium war, tauchten bereits zwei Verfahren auf, die Echtheitsüberprüfung zu umgehen. Wahlweise nutzte man die Daten einer lizenzierten Windows-Version oder verwendete Software zur Erzeugung der notwendigen Daten. Ob diese Umgehungen auch mit der aktuellen Version der Echtheitsprüfung noch funktionieren, ist derzeit nicht bekannt.  (ip)


Verwandte Artikel:
Windows-Downloads nur noch nach Echtheitsprüfung   
(26.07.2005, https://glm.io/39479 )
Weitere Software überwindet Microsofts Update-Sperren   
(23.06.2005, https://glm.io/38811 )
Software umgeht Microsofts Update-Sperren   
(24.05.2005, https://glm.io/38215 )
Microsofts CD-Key-Prüfung bei Downloads sorgt für Verwirrung   
(17.02.2005, https://glm.io/36393 )
Deutsche Windows-Downloads ab jetzt mit CD-Key-Prüfung   
(10.02.2005, https://glm.io/36225 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft (.com): http://www.microsoft.com
Microsoft - Windows Genuine Advantage: http://www.microsoft.com/germany/original

© 1997–2019 Golem.de, https://www.golem.de/