3. The day after the MS security-GAU (Software-/Programmlösungen).

The day after the MS security-GAU (Software-/Programmlösungen).

  • P

    Hi Leute!

    Ihr habt es ja heute und gestern in den Nachrichten gehört.
    Zum ersten Mal seit Bestehen hat M$ eine Sicherheitslücke
    der Stufe kritisch eingeräumt!
    DEFCON 1 in der Informationstechnologie!
    Wahrscheinlich der größte Skandal seit es PC´s gibt.

    Zwar kann man jetzt den ASN.1 buffer overflow durch das Patch abdichten.
    Wie spüre ich aber Eindringlige auf, die bereits seit Monaten drin sind?
    Durch die Form des Fehlers ist ja möglich das OS zu umlaufen.

    D.h. ich muss Heaps, die unter Kontrolle Windows stehen, mit der tatsächlichen Speicherbelegungen irgendwie vergleichen... 😕

    Gleichzeitig müssen sämtliche Bridges, Gateway, Router, Netzwerkkarten etc überwacht werden und mit der Kontolle des OS irgendwie vergleichen, um das OS wieder in die 'Trustebene' zu pushen.

    Achja, für jene, die die letzten 2 Tagen was verpasst haben:

    http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-007.htm
    http://www.eeye.com/html/Research/Advisories/AD20040210-2.html
    http://www.heise.de/security/news/meldung/44502
    http://www.spiegel.de/netzwelt/politik/0,1518,285825,00.html
    http://news.google.de/news?q=Sicherheitslücke+windows&hl=de&lr=&ie=UTF-8&oe=UTF-8&sa=N&tab=nn

    Deshalb zwei Fragen:

    1. Wie kann man das programmtechnisch lösen?
    2. Gibt es Fertiglösungen, die Ihr empfehlen könnt?

    Vielen Dank!

    P84

    0
  • G

    Prof84 schrieb:

    Zwar kann man jetzt den ASN.1 buffer overflow durch das Patch abdichten.
    Wie spüre ich aber Eindringlige auf, die bereits seit Monaten drin sind?
    Durch die Form des Fehlers ist ja möglich das OS zu umlaufen.

    D.h. ich muss Heaps, die unter Kontrolle Windows stehen, mit der tatsächlichen Speicherbelegungen irgendwie vergleichen... 😕

    wenn du das tor zu machst sind sie dann doch nicht mehr drin! wie willst du dann sehen ob der heap noch in ordnung ist?
    du müsstes das tor offen lasen und dann irgend wie abbilder von dem speicher ziehen.
    wenn das überhaupt möglich ist, ich würde zu zeit sowieso alles mögliche sammeln

    ich denke am einfachsten wäre es alle zertifikate zu logen und wenn es "öffentlich" wird wir man sich ein buffer overflow zertifikat bastelt kann man in die zer. reinkucken

    aber wahrscheinlich laber ich nur müll 🙂

    0
  • ?

    stack guard.
    stack shield.
    allerdings weiß ich nicht, ob die auch mit windows funktionieren. diese programme(oder zumindest eines von beiden) schreiben eine zufallszahl hinter jede rücksprung addresse. wenn die addresse + zahl überschrieben wird, beenden die programme, das programm, dessen ret-addresse überschrieben wurde. falls sie nicht mit windows funzen, könntest du ja mal einen blick in richtung unix/linux wagen... *schleichwerbungMach*

    mfg

    0
  • J

    Prof84 schrieb:

    DEFCON 1 in der Informationstechnologie!

    Als durch eigene Programmierkenntnisse halbwegs Sachverständiger sollte man sich vielleicht nicht unbedingt an der Panikmache der Massenmedien beteiligen.
    Siehe auch http://www.heise.de/newsticker/meldung/44534

    0
  • R

    Ist ja nicht das erste mal, dass bei Microsoft katastrophale Sicherheitslücken waren. Wie war nochmal die Lösung als die MS Firewall keine Firewall mehr sein wollte?

    http://support.microsoft.com/default.aspx?scid=kb;en-us;306203 schrieb:

    To work around this behavior, obtain firewall software that can filter and block IPv6 traffic.

    🙂

    Ich verschieb das aber mal, ist ja keine wirkliche Programmier Frage ➡

    0
Anmelden zum Antworten