"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Windows-Sicherheitslücke durch Verknüpfungen

mat 21.07.2010 - 10:42 7447 8 Thread rating
Posts

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: nö
Posts: 25429
click to enlarge
Normalerweise halten wir uns bei Viruswarnungen und dergleichen raus, aber nachdem Microsoft seit über eine Woche einen mehr als ernsten Exploit über Verknüpfungsdateien (.lnk und .pif) noch immer nicht gefixt hat, bleibt uns gar nichts anderes über. Betroffen sind alle aktuellen Windows-Versionen ab XP!

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12082
Der SDL laesst abermals seine Muskeln spielen! :D

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6477
Wirklich übel wird's dann in Kombination mit geklauten, gültigen Zertifikaten populärer Hardwarehersteller, wie z.B. Realtek.
http://www.heise.de/security/meldun...zu-1042007.html

Die dann auf Treiberebene von vielen Antivirenprogrammen nicht mehr erkannt werden (können).

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12082
Ja, das ist ein schoenes Exempel fuer das Versagen zentralisierter Authentifizierungsverfahren. Darueber hatten wir uns vor ein paar Monaten (im Dunstkreis PGP vs. S/MIME) hier im Forum schon einmal unterhalten.

Angeblich wurde das entsprechende Zertifikat von Verisign inzwischen widerrufen. Wuerde mich interessieren, was das fuer realweltliche Auswirkungen bei Treiberinstallationen und dergleichen hat. Bzw. ob CRL-Support ueberhaupt implementiert wurde :D Erschreckend viele TLS/SSL-Clientanwendungen z. B. koennen in der Hinsicht gar nix, und fressen alles, was irgendwann mal als gueltig ausgestellt wurde, und laut Ablaufdatum noch immer gueltig ist.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16841
Zitat von COLOSSUS
Ja, das ist ein schoenes Exempel fuer das Versagen zentralisierter Authentifizierungsverfahren. Darueber hatten wir uns vor ein paar Monaten (im Dunstkreis PGP vs. S/MIME) hier im Forum schon einmal unterhalten.
naja solange das versagen berücksichtigt wird und die CRL wie vorgeschrieben abgerufen wird ists imho noch immer das beste derzeit funktionierende system. und wenns wirklich keine CRLs berücksichtigen ists ein ziemlicher fail. ändert aber meiner meinung nach nichts daran, dass das konzept selbst sehr sicher ist. die implementierung ist halt oft ein hund wie man sieht.

Luka

Administrator
...
Avatar
Registered: Nov 2006
Location: Mödling
Posts: 206
Zitat
heise.de:
Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt. Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen.
Seite 48 der offiziellen Dokumentation des LNK-Formats:

screen-lnk-pdf-bef7ea2af7a4b1cb_157368.png

Quelle:heise.de

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12082
:D Nice find!

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: nö
Posts: 25429
Ein außerplanmäßiger Patch über die Windows-Update-Funktion steht nun endlich Verfügung, um dieses Problem zu beheben.

foo_on_air

OC Addicted
Registered: Jun 2007
Location: Wien
Posts: 769
Wow, lange hat es gedauert, bis Microsoft gedenkt etwas zu tun bei so einer unwichtigen Lücke. Ich hatte inzwischen das Tool von Gdata installiert. Kann ich das nun rückgängig machen? Oder hat der Patch von M$ ungewünschte Auswirkungen - wie z.B. dass Icons nimmer dargestellt werden?
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz