Windows-Sicherheitslücke durch Verknüpfungen

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25419

21.07.2010 - 10:42

Normalerweise halten wir uns bei Viruswarnungen und dergleichen raus, aber nachdem Microsoft seit über eine Woche einen mehr als ernsten Exploit über Verknüpfungsdateien (.lnk und .pif) noch immer nicht gefixt hat, bleibt uns gar nichts anderes über. Betroffen sind alle aktuellen Windows-Versionen ab XP!

» Beitrag lesen

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12064

21.07.2010 - 10:55

Der SDL laesst abermals seine Muskeln spielen!

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6449

21.07.2010 - 13:10

Wirklich übel wird's dann in Kombination mit geklauten, gültigen Zertifikaten populärer Hardwarehersteller, wie z.B. Realtek.
http://www.heise.de/security/meldun...zu-1042007.html

Die dann auf Treiberebene von vielen Antivirenprogrammen nicht mehr erkannt werden (können).

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12064

21.07.2010 - 13:16

Ja, das ist ein schoenes Exempel fuer das Versagen zentralisierter Authentifizierungsverfahren. Darueber hatten wir uns vor ein paar Monaten (im Dunstkreis PGP vs. S/MIME) hier im Forum schon einmal unterhalten.

Angeblich wurde das entsprechende Zertifikat von Verisign inzwischen widerrufen. Wuerde mich interessieren, was das fuer realweltliche Auswirkungen bei Treiberinstallationen und dergleichen hat. Bzw. ob CRL-Support ueberhaupt implementiert wurde

Erschreckend viele TLS/SSL-Clientanwendungen z. B. koennen in der Hinsicht gar nix, und fressen alles, was irgendwann mal als gueltig ausgestellt wurde, und laut Ablaufdatum noch immer gueltig ist.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16827

21.07.2010 - 13:19

Zitat von COLOSSUS
Ja, das ist ein schoenes Exempel fuer das Versagen zentralisierter Authentifizierungsverfahren. Darueber hatten wir uns vor ein paar Monaten (im Dunstkreis PGP vs. S/MIME) hier im Forum schon einmal unterhalten.

naja solange das versagen berücksichtigt wird und die CRL wie vorgeschrieben abgerufen wird ists imho noch immer das beste derzeit funktionierende system. und wenns wirklich keine CRLs berücksichtigen ists ein ziemlicher fail. ändert aber meiner meinung nach nichts daran, dass das konzept selbst sehr sicher ist. die implementierung ist halt oft ein hund wie man sieht.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

23.07.2010 - 13:33

Zitat
heise.de:
Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt. Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen.

Seite 48 der offiziellen Dokumentation des LNK-Formats:

Quelle:heise.de

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12064

23.07.2010 - 14:55

Nice find!

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25419

03.08.2010 - 09:26

Ein außerplanmäßiger Patch über die Windows-Update-Funktion steht nun ~~endlich~~ Verfügung, um dieses Problem zu beheben.

foo_on_air

OC Addicted

Registered: Jun 2007
Location: Wien
Posts: 769

07.08.2010 - 16:50

Wow, lange hat es gedauert, bis Microsoft gedenkt etwas zu tun bei so einer unwichtigen Lücke. Ich hatte inzwischen das Tool von Gdata installiert. Kann ich das nun rückgängig machen? Oder hat der Patch von M$ ungewünschte Auswirkungen - wie z.B. dass Icons nimmer dargestellt werden?

mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25419	21.07.2010 - 10:42 Normalerweise halten wir uns bei Viruswarnungen und dergleichen raus, aber nachdem Microsoft seit über eine Woche einen mehr als ernsten Exploit über Verknüpfungsdateien (.lnk und .pif) noch immer nicht gefixt hat, bleibt uns gar nichts anderes über. Betroffen sind alle aktuellen Windows-Versionen ab XP! » Beitrag lesen
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12064	21.07.2010 - 10:55 Der SDL laesst abermals seine Muskeln spielen!
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6449	21.07.2010 - 13:10 Wirklich übel wird's dann in Kombination mit geklauten, gültigen Zertifikaten populärer Hardwarehersteller, wie z.B. Realtek. http://www.heise.de/security/meldun...zu-1042007.html Die dann auf Treiberebene von vielen Antivirenprogrammen nicht mehr erkannt werden (können).
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12064	21.07.2010 - 13:16 Ja, das ist ein schoenes Exempel fuer das Versagen zentralisierter Authentifizierungsverfahren. Darueber hatten wir uns vor ein paar Monaten (im Dunstkreis PGP vs. S/MIME) hier im Forum schon einmal unterhalten. Angeblich wurde das entsprechende Zertifikat von Verisign inzwischen widerrufen. Wuerde mich interessieren, was das fuer realweltliche Auswirkungen bei Treiberinstallationen und dergleichen hat. Bzw. ob CRL-Support ueberhaupt implementiert wurde Erschreckend viele TLS/SSL-Clientanwendungen z. B. koennen in der Hinsicht gar nix, und fressen alles, was irgendwann mal als gueltig ausgestellt wurde, und laut Ablaufdatum noch immer gueltig ist.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16827	21.07.2010 - 13:19 Zitat von COLOSSUS Ja, das ist ein schoenes Exempel fuer das Versagen zentralisierter Authentifizierungsverfahren. Darueber hatten wir uns vor ein paar Monaten (im Dunstkreis PGP vs. S/MIME) hier im Forum schon einmal unterhalten. naja solange das versagen berücksichtigt wird und die CRL wie vorgeschrieben abgerufen wird ists imho noch immer das beste derzeit funktionierende system. und wenns wirklich keine CRLs berücksichtigen ists ein ziemlicher fail. ändert aber meiner meinung nach nichts daran, dass das konzept selbst sehr sicher ist. die implementierung ist halt oft ein hund wie man sieht.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	23.07.2010 - 13:33 Zitat heise.de: Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt. Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen. Seite 48 der offiziellen Dokumentation des LNK-Formats: Quelle:heise.de
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12064	23.07.2010 - 14:55 Nice find!
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25419	03.08.2010 - 09:26 Ein außerplanmäßiger Patch über die Windows-Update-Funktion steht nun ~~endlich~~ Verfügung, um dieses Problem zu beheben.
foo_on_air OC Addicted Registered: Jun 2007 Location: Wien Posts: 769	07.08.2010 - 16:50 Wow, lange hat es gedauert, bis Microsoft gedenkt etwas zu tun bei so einer unwichtigen Lücke. Ich hatte inzwischen das Tool von Gdata installiert. Kann ich das nun rückgängig machen? Oder hat der Patch von M$ ungewünschte Auswirkungen - wie z.B. dass Icons nimmer dargestellt werden?

Windows-Sicherheitslücke durch Verknüpfungen

Forum Index > Software > Windows

mat

COLOSSUS

mr.nice.

COLOSSUS

Smut

Luka

COLOSSUS

mat

foo_on_air