Weitere Einzelheiten zur Lücke im Internet Explorer
Ob der neue entdeckte Buffer Overflow im Internet Explorer nicht eventuell doch Windows XP mit Service Pack 2 betrifft, ist derzeit in diversen Diskussionen und Berichten umstritten.
Ob der neue entdeckte Buffer Overflow im Internet Explorer auch Windows XP mit Service Pack 2 betrifft, ist derzeit Inhalt diverser Diskussion. Einigen Medienberichten zufolge würde nur der Exploit nicht funktionieren, prinzipiell sei der Fehler aber auch in SP2 zu finden.
Dass dies nicht der Fall ist, zeigten aber weitere Tests des Exploits in der heise-Security-Redaktion: Auf Systemen mit SP2 führte der Angriff zwar zu einer kurzfristigen, merkbaren Verlangsamung der Rechner, die Browser stürzten jedoch nicht ab. Vielmehr belegt der Exploit aus bestimmten Gründen extrem viel Speicher, sodass nach kurzer Zeit auf einigen Systemen eine Fehlermeldung erscheint, der virtuelle Speicher würde nicht mehr ausreichen. Anschließend arbeitet der Internet Explorer aber ganz normal weiter, was nach einem Buffer Overflow eigentlich nicht der Fall sein kann.
Selbst wenn der Exploit einen Pufferüberlauf provozieren könnte, würde er dennoch nicht vollständig funktionieren, da die mit Service Pack 2 eingeführte Execution Protection das Ausführen von eingeschleustem Code verhindert. Dieser Schutz ist auch auf Systemen wirksam, in denen kein Prozessor mit NX-Funktion eingebaut ist. Dazu hat Microsoft das komplette Service Pack 2 mit einer speziellen Compileroption neu übersetzt, sodass bei jedem Unterprogrammaufruf ein Cookie (Canary) auf den Stack geschrieben wird. Ist das Cookie etwa durch einen Pufferüberlauf überschrieben worden, so beendet Windows die betroffene Applikation -- auf Overflows beruhende Exploits funktionieren nicht mehr. Für welche Applikation die auch als Datenausführungsverhinderung bezeichnete Option aktiviert ist, kann man unter Systemeigenschaften/Erweitert/Systemleistung/ sehen.
Interessanterweise wurde der neue Fehler mit einem Ableger des von Michal Zalewski entwickelten Mangleme-Tools gefunden. Damit hatte Zalewski fehlerhaften HTML-Code erzeugt und die Reaktionen mehrerer Browser darauf untersucht. Dabei kam er zu dem Schluss, dass der Internet Explorer wohl der robusteste Browser sei, da er weder abstürzte noch aus dem Tritt geriet. In Mozilla fand er mehrere Buffer Overflows, die aber nach Angaben der Entwickler allesamt nicht ausnutzbar gewesen sein sollen.
Siehe dazu auch: (dab)
- Internet Explorer am robustesten auf heise Security
