Laut Heise-Newsticker und Spiegel-Online ...

... steckt diese Sicherheitslücke in allen Windows-Versionen seit NT 3.51.

Manche Dinge werden halt erst spät gefunden :D

Natürlich schon Krass, daß Teile des Systems schon soo alt sind...

32bit war so oder so gestern

Dunkelelf schrieb:
--------------------------------------------------------------------------------
> Natürlich schon Krass, daß Teile des Systems schon soo alt sind...

Da der Fehler im Viritual Dos Mode liegt ist das nur halb so wild. Die Dos Kompatibilität musste eben nie erweitert werden.

Meine These ist ja, dass diese und viele bisher noch unbekannte Lücken von einigen von Anfang an bekannt waren. Dadurch gab es seit je her die Möglichkeit einer Manipulation auf fremden Rechnern.

Wie viele Firmen waren vorher mit ihrem Firmenrechner "ungeschützt" online? Wer da nach Firmengeheimnissen suchte (und auch reihenweise fündig wurde), wird das ja nicht laut hinausposaunt haben.

1st1 schrieb:
--------------------------------------------------------------------------------
> ... steckt diese Sicherheitslücke in allen Windows-Versionen seit NT 3.51.

Nö, das war ein anderer Bug...Das hier ist schon wieder ein neuer ^^

Richtig, ich hab Windows 7 64 seit September drauf, unter Vista war 64bit leider noch nicht brauchbar (Treiber etc.).
Einen Mac-Mini hab ich übrigens auch. Da gibts auch Sicherheitsupdates alle paar Wochen.

AndyMt schrieb:
--------------------------------------------------------------------------------
> Richtig, ich hab Windows 7 64 seit September drauf, unter Vista war 64bit
> leider noch nicht brauchbar (Treiber etc.).

Auch bei Win7 64 ist treiberseitig noch viel Nacholbedarf seitens der Hersteller. Kyocera bietet für seine Scannermodule (z.B. verbaut in Triumph-Adler Multifunktionssystemen) erst seit Anfang des Jahre passende Win7-Treiber an.

Gruß
Tantalus

Bekommt man eigentlich auch flächenddeckend Treiber (für W7 64bit) für ältere Hardware oder nur für <= 1 bis max. 2 Jahre alte?

Das stimmt schon. Aber im Gegensatz zu Vista wird bei Win7 die 64-bit Version nun auch häufiger verkauft. Wenn ich so die Anzeigen hier lese oder was in den Fachmärkten so rumsteht: da ist fast überall Windows 7 64bit Home Premium drauf.

Jetzt MÜSSEN die Hersteller endlich nachziehen. Und dabei auch gezwungener Massen ihre Treiber signieren (nicht zertifizieren, das ist was anderes). Das kostet auch nur zwischen 200-400$ pro Jahr (das bekommt nicht Microsoft, sondern VeriSign und Co) und die sollte wohl jeder Hersteller übrig haben.

Ich hab hier einen ur-alten Canon Scanner (CanoScan 360 von 2003), der lief problemlos. Nur meine Logitech QuickCam von 2001, die wollte nicht mehr.
Ein älteres Acer-Notebook von 2005: kein Problem.
Mein neueres Notebook von 2008: auch kein Problem.

Mein Mac-Mini: nee - kleiner Scherz...

AndyMt schrieb:
--------------------------------------------------------------------------------
> Jetzt MÜSSEN die Hersteller endlich nachziehen. Und dabei auch gezwungener
> Massen ihre Treiber signieren (nicht zertifizieren, das ist was anderes).
> Das kostet auch nur zwischen 200-400$ pro Jahr (das bekommt nicht
> Microsoft, sondern VeriSign und Co) und die sollte wohl jeder Hersteller
> übrig haben.

Das heisst dann gleichzeitig (fast) keine Open Source Anwendungen in 64 Bit Ausführung. Ausser den grossen gesponsorten Projekten wird sich das kaum einer leisten.

Allerdings laufen ja auch nicht signierte 32 Anwendungen problemlos unter Windows 64, somit erhöht diese Signiergeschichte die Sicherheit sowieso nicht. Wer nimmt denn diese Signierhinweise noch ernst wenn das dann ohnehin wieder bei den meisten Applikationen angemeckert wird.

Der Unterschied zwischen "Treibern" und "Anwendungen" ist dir aber schon klar, oder?

Zum Mitschreiben: 64bit Windows benötigt 64bit Treiber, kann aber auch 32bit Anwendungen ausführen. 64bit-Treiber müssen signiert werden (32bit Treiber können signiert werden). 32bit-Treiber sind auf Win64 nicht nutzbar.

Also tatsächlich erhöhte Sicherheit (da keine unsignierten Treiber), bei vergleichbarer Kompatibilität, ohne zusätzliche Meckerfenster.

Es geht hier hauptsächlich um die Treiber-Signierung. Da diese näher am Kernel laufen können sie potentiell mehr Schaden anrichten. Das ist bei Anwendungen schon weniger kritisch - sofern sie nicht als Admin laufen. Dafür wäre unter Win7 ja gesorgt - wenn nicht so blöde "Tippgeber"-Hefte ständig schreiben würden: "So schalten Sie die nervige UAC ab".

Es laufen übrigens auch unsignierte 64-bit Anwendungen unter Wincows 7. Nur auf den 64-bit Server Betriebssystemen soll das dann nicht mehr möglich sein.

Aber unsignierte Treiber lassen sich jetzt unter 64-bit nicht mehr installieren, ausser eben - man schaltet dieses Sicherheitsmechanismus ab. Als Treiber-Entwickler macht man sowas während der Entwicklung schon mal... Aber Otto-Normalverbraucher sollte davon die Finger lassen und statt dessen dem Hardware-Hersteller eins auf die Finger geben.

Da liegst du falsch. Es handelt sich in beiden Fällen um CVE-2010-0232. Was bringt dich zu deiner These, dass es sich um einen anderen Bug handelt? Etwa dass Golem VDM falsch übersetzt hat?

theschmitzcat schrieb:
> Das heisst dann gleichzeitig (fast) keine Open Source Anwendungen in 64 Bit
> Ausführung. Ausser den grossen gesponsorten Projekten wird sich das kaum
> einer leisten.

Das wird leider von sehr vielen Leuten falsch interpretiert. Windows x64 benötigt in der Standardeinstellung zwar dringend Signaturen. Es wird aber nicht vorgeschrieben, dass diese auch vertrauenswürdig sein müssen. Erkennbar ist das ganz einfach daran, dass ein Catalog-file (Dateiendung *.cat) mitgeliefert wird wo die ganzen Signaturen für die im *.inf genannten Treiber enthalten sind. Dieser Katalog wird dann mittels Zertifikat signiert.

Das Zertifikat kann jeder auch selber erstellen und Self-Signed Kateloge erstellen. Windows vertraut denen dann zwar nicht aber ausser einer Warnung bei der Installation hat das keine negativen Effekte.
Siehe auch die TAP-Treiber welche mit OpenVPN mitgeliefert werden - oder auch die Treiber von VirtualBox. Die sind alle nicht mit einem von Microsoft vertrauenswürdige eingestuften Zertifikat signiert aber sie sind signiert.

Fehlt die Signatur komplett, dann kann der Treiber nicht installiert werden und Windows x64 weigert sich. Ich habe selber schon solche Treiber nachträglich mit eigenen Zertifikaten signiert (eigenes *.cat erstellt) und danach problemlos installieren können. Wenn man dann noch sein eigenes Zertifikat als vertrauenswürdig einstuft und in den Zertifikatsbaum importiert (certmgr), dann beschwert sich Windows nicht mal mehr über die Vertrrauenswürdigkeit der Signatur.

Also alles kein wirkliches Problem für OSS Software. Für VirtualBox und OpenVPN habe ich mir ein kleines CMD Script gebastelt mit dem ich automatisch das aus dem *.cat extrahierte Zertifikat als vertauenswürdiges Zertifikat importiere bevor die Installation startet - ergo: Nicht mal eine Warnung.


> Allerdings laufen ja auch nicht signierte 32 Anwendungen problemlos unter
> Windows 64, somit erhöht diese Signiergeschichte die Sicherheit sowieso
> nicht. Wer nimmt denn diese Signierhinweise noch ernst wenn das dann
> ohnehin wieder bei den meisten Applikationen angemeckert wird.

Du musst zwischen Treibern und Applikationen unterscheiden. Applikationen sollen so oder so mit eingeschränkten Benutzerrechten laufen und haben nur begrenzte Möglichkeiten ins System einzugreifen. Signaturen für Applikationen sind dazu da die Integrität und Authentizität der Applikation sicher zu stellen. Ich weiss dann, dass die Applikation nicht verändert wurde und von wem sie wirklich kommt.

Treiber laufen mit viel höheren SYSTEM-Rechten und sind daher viel kritischer. Ausserdem ist die Anzahl der Treiber endlich und viel einfacher zu kontrollieren. Hier macht eine Signierung viel mehr sinn. Ausserdem kann über ein gültiges Zertifikat dann immer zurück verfolgt werden wer den Schadhaften Treiber signiert hat.

AndyMt schrieb:
--------------------------------------------------------------------------------
> Richtig, ich hab Windows 7 64 seit September drauf, unter Vista war 64bit
> leider noch nicht brauchbar (Treiber etc.).
Das Treiberproblem war aber schon länger nicht mehr akut. Aber es war ja klar, dass jetzt wieder die Windows7 Fans ankommen.

In Wirklichkeit gibt es kaum einen Unterschied zwischen NT6.0 und 6.1. Die Taskbar/Startmenü wurden ein wenig verbessert, PowerShell und VirtualPC standardmäßig integriert und das Theme etwas angepasst. Dummerweise wurden auch wieder ein paar Sachen irgendwo anders versteckt als an den Orten, an die man sich in 10 Jahren gewöhnt hatte. Zum Glück funktioniert die Suche... Unter der Haube hat sich eh nicht viel getan.

Dieselben Leute, die Vista verteufelt haben, finden jetzt auf einmal Seven toll. Ich finde es immer wieder interessant.

--------------------------------------------------------------------------------
> 32bit war so oder so gestern

Da schau Dich mal in Großkonzernen (außerhalb der IT) um.

SkyBeam schrieb:

> Also alles kein wirkliches Problem für OSS Software. Für VirtualBox und
> OpenVPN habe ich mir ein kleines CMD Script gebastelt mit dem ich
> automatisch das aus dem *.cat extrahierte Zertifikat als vertauenswürdiges
> Zertifikat importiere bevor die Installation startet - ergo: Nicht mal eine
> Warnung.

Würdest du so nett sein und das Script irgendwo Online stellen?
Ich könnte das wohl gebrauchen.

Danke!

karottl schrieb:
> Würdest du so nett sein und das Script irgendwo Online stellen?
> Ich könnte das wohl gebrauchen.

Eigentlich brauchst du nur eine Zeile um das Zertifikat zu importieren:

certutil -addstore "TrustedPublisher" "sun.cer"

Virtualbox extrahiere ich immer zuerst um an die normalen MSI Pakete heranzukommen:

start /wait "Extracting" VirtualBox-<version>-Win.exe -x "%TEMP%\VirtualBox"
copy /Y "%TEMP%\VirtualBox" "%dp0"
rmdir /S /Q "%TEMP%\VirtualBox"



Um an das verwendete Zertifikat zu kommen braucht man VBoxUSB.cat entweder von einem installierten VirtualBox oder man macht einfach eine Administrative Installation des MSI Paketes um die Dateien zu extrahieren. Ich habe mal für mich selber eine "dummy" Anleitung abgelegt damit ich es nicht vergesse:

- Extract VirtualBox MSI:
- msiexec /a VirtualBox-3.0.10-r54097-MultiArch_amd64.msi /qb TARGETDIR="c:\Temp"
- Import certificate
- Open PFiles\Sun VirtualBox\drivers\USB\device\VBoxUSB.cat
- Click "View Signature"
- Click "View Certificate"
- Click "Install Certificate..."
- Click "Next >"
- Select "Place all certificates in the following store"
- Click "Browse..."
- Select the "Trusted Publishers" Certificate Store
- Click "OK"
- Click "Next >"
- Click Finish
- Export certificate to file
- Run "certmgr.msc"
- Go to "Trusted Publishers/Certificates"
- Right click the "Sun Microsystems, Inc." certificate
- Select "All Tasks/Export..."
- Click "Next >"
- Select "DER encoding binary X.509 (.CER)" and click "Next >"
- Enter a file name and click "Next >"
- Click "Finish"
- Delete the certificate from the user certificate store

Das extrahierte Zertifikat kann dann mit obiger certutil Command-Line automatisch importiert werden.

HTH



1 mal bearbeitet, zuletzt am 22.01.10 16:46 durch SkyBeam.