Buffer-Overflow-Schutz in Windows XP SP2 lückenhaft

Die mit Service Pack 2 für Windows XP eingeführte Datenausführungsverhinderung (Data Execution Protection, DEP) und Heap Protection lässt sich nach Angaben des russischen Software-Herstellers Positive Technologies aushebeln. DEP soll eigentlich das Ausführen von Code verhindern, der etwa durch einen Buffer Overflow eines fehlerhaften Programmes in den Speicher geschleust wurde, beispielsweise mit präparierten JPEG-Bildern. Zusätzlich soll die Heap Protection das Überschreiben von Speicherbereichen unterbinden. Durch einen bereits im Oktober entdeckten Fehler soll es aber möglich sein, bis zu 1016 Bytes in beliebige Speicherbereiche zu schreiben und trotz Schutzes auszuführen. In der Beschreibung zu dem Fehler haben die Autoren zwei Proof-of-Concept-Exploits aufgeführt.

Betroffen ist nur die Software-Version der Datenausführungsverhinderung, wie sie auf 32-Bit-Prozessoren ohne NX-Flag zum Einsatz kommt. Die hardwaremäßige Implementierung der DEP durch die No-Execution-Funktion moderner 64-Bit-Prozessoren schützt nach bisherigen Erkenntnissen weiterhin zuverlässig. Die Entdecker des Fehlers stufen das Risiko aber eher gering ein, da besondere Voraussetzungen erfüllt sein müssen, um ihn auszunutzen. Dennoch stellen sie das Tool PTmsHORP bereit, mit dem sich das Problem beheben lässt. Es setzt ein spezielles Flag, um die Verwendung und Manipulation sogenannter lookaside-Listen zu verhindern. Microsoft ist seit dem 22. Dezember über den Fehler informiert.

Siehe dazu auch: (dab)

• Defeating Microsoft Windows XP SP2 Heap protection and DEP bypass von Positive Technologies