Link zur News:
http://www.3dcenter.org/news/neuer-trojaner-offenbart-gefaehrliche-windows-designluecke

Testen kann man ihn nicht?

OT: oben steht öfters "Diskussion zu", hier der Gegenbeweis :freak:

wie äußert der sich?

hatte gestern nen Virenangriff, IE hat sich im Vollbildmodus geöffnet und wollte auf eine Seite (das hat der Virenscanner blockiert) und es lies sich nix mehr machen außer Windows+L, nicht mal STrg+alt+esc reagierten mehr und auch den IE konnte man nicht beenden oder klein machen.

und Antivir Security (die Topversion) hat nix gemacht.

dann bei anderem Benutzer die MSconfig wieder aufgeräumt neu gestartet und alles war vorbei

Wo soll da die Designlücke sein?
Spätestens bei verschlüsselten Verbindungen hat kein Scanner mehr die Chance die Daten abzugreifen und das ein Programm Bytes im Speicher als Programmcode ausführen kann ist auch ziemlich grundlegend.
Das einzige was da gegen helfen würde ist strengste Codeprüfung und Signierung wie bei den Konsolen.

Und wenn man erst eine vbs runterladen und ausführen muss kann der Scanner die doch einfach erkennen, wenn der User mal wieder grundlegende Fähigkeiten vermissen lässt.

Mein Tip sollte der Virus wirklich eine "Windows" -Design Schwäche ausnutzen ..... einfach das "Fenster" zu machen. Kommt kein Virus rein und alle bleiben Gesund ...

*edit*
Entfernt, weil Mist.

Wo soll da die Designlücke sein?
Spätestens bei verschlüsselten Verbindungen hat kein Scanner mehr die Chance die Daten abzugreifen und das ein Programm Bytes im Speicher als Programmcode ausführen kann ist auch ziemlich grundlegend.
Das einzige was da gegen helfen würde ist strengste Codeprüfung und Signierung wie bei den Konsolen.

Und wenn man erst eine vbs runterladen und ausführen muss kann der Scanner die doch einfach erkennen, wenn der User mal wieder grundlegende Fähigkeiten vermissen lässt.

Microsoft spricht ja von einem Visual Basic Programm. Entsprechend muss der User dieses ja selbst geladen und gestartet haben. VB Script verfügt soweit ich weiß gar nicht über die Funktionen um direkt im Speicher zu arbeiten.

Microsoft spricht ja von einem Visual Basic Programm. Entsprechend muss der User dieses ja selbst geladen und gestartet haben. VB Script verfügt soweit ich weiß gar nicht über die Funktionen um direkt im Speicher zu arbeiten.
Ah stimmt. Aber ich kann da immer noch nicht ansatzweise eine Designlücke sehen, wie der Titel da reißerisch vorgibt.

Ah stimmt. Aber ich kann da immer noch nicht ansatzweise eine Designlücke sehen, wie der Titel da reißerisch vorgibt.

Die "Designlücke" ist die Möglichkeit einem Speicherblock Ausführungsrechte geben zu können. Dummerweise ist dieses Eigenschaft elementar um jede Art von JIT Compiler Technik zu implementieren. Entsprechend hat nahezu jedes OS diese "Designlücke". In iOS war sie ursprünglich nicht vorhanden inzwischen musste Apple dieses Feature zu mindestens für den Safari Prozess freigeben um JavaScript JIT zu erlauben. Also in einem für Angriffe bevorzugten Prozess.

Das meine ich damit.
Wie ist das denn eigentlich bei Konsolen? Darf ein Prozess da Speicher zum Ausführen freischalten?

Das meine ich damit.
Wie ist das denn eigentlich bei Konsolen? Darf ein Prozess da Speicher zum Ausführen freischalten?

Für 3rd Party Software ist das AFAIK verboten. Microsoft macht für sich selbst in Verbindung mit XNA Spielen eine Ausnahme. Da hat aber wiederum XNA selbst keine Funktionen um das selbst zu veranlassen. Ob Sony sich schon selbst für irgendwas einen Freibrief gegeben hat ist mir nicht bekannt.

Die "Designlücke" ist die Möglichkeit einem Speicherblock Ausführungsrechte geben zu können. Dummerweise ist dieses Eigenschaft elementar um jede Art von JIT Compiler Technik zu implementieren. Entsprechend hat nahezu jedes OS diese "Designlücke". In iOS war sie ursprünglich nicht vorhanden inzwischen musste Apple dieses Feature zu mindestens für den Safari Prozess freigeben um JavaScript JIT zu erlauben. Also in einem für Angriffe bevorzugten Prozess.



Wieder was gelernt. Ich würde ja gern einen Nachtrag schreiben, wo das besser erklärt wird.

Dazu 2 Fragen:

1. Kann man wirklich nicht von Designlücke reden? Oder ist es dann eine Lücke, die einfach grundlegender Teil des Systems ist, ergo die man akzeptieren muß?

2. Sollte nicht der Virenscanner da was dagegen tun, daß er derart umgangen wird? Ich meine, hier wird das einmal vorexerziert - wenn das Schule macht, dann gute Nacht.

Die Lücke stellt auch gleichzeitig eine Funktion da. Der Rechner unterscheidet normalerweise überhaupt nicht zwischen Code und Daten. DEP oder Codesignierung sind ja zusätzliche Techniken um das aus verschiedenen Gründen einzuschränken.
Das gleiche "Problem" hat man auch in Linux und Mac OS.

Dafür müsste der Virenscanner ja jedesmal wenn sich in einer als Code markierten Speicheradresse was ändert, drüber laufen bevor die ausgeführt würde.
Ich verstehe auch überhaupt nicht wo das große Problem ist. Da muss dann halt der Loader erkannt werden.
Praktisch alle Infektionen/Attacken basieren auf längst behobenen Lücken oder darauf den Anwender dazuzubringen aktiv eine Aktion auszuführen.
Mit aktueller Software und ein bisschen Nachdenken kann man sich IMO auch ohne Virenscanner im Netz bewegen.

Ein Virenscanner erkennt auch keinen Schädling, der eine Sicherheitslücke im Browser ausnutzt und per HTTPS übertragen wird. Da läuft auch schon der Schadcode ohne, dass der Scanner anspringt.

Danke für die Infos, ich schreibe einen Nachtrag.