Eine der Voraussetzungen, dass so ein Angriff ausgenutzt werden kann, ist das Vorhandensein von exakt gleichen Bedingungen. Das heißt: dieselbe Betriebssystemversion mit möglichst identischem Patchstand. Das angegriffene Programm muss binär absolut identisch mit dem Rechner des Angreifers sein, also derselbe Patchlevel in derselben Sprachversion. Keine Chance hat ein Angreifer, wenn im Browser mehrere Tabs oder Fenster geöffnet sind, bevor das präparierte Dokument geladen ist.

Externe Programme wie der Adobe Acrobat Reader sind grundsätzlich stärker gefährdet als ein Browser. Das liegt daran, dass der Angreifer darauf hoffen kann, dass das externe Programm nicht gestartet ist, wenn der Benutzer das präparierte Dokument anklickt. Wer grundsätzlich vor dem Starten des Browsers ein PDF-Dokument öffnet, erhält einen ziemlich guten Schutz vor der „produktiven“ Ausnutzung einer Lücke im Acrobat Reader.

Wenn das Programm gestartet wird, um das vom Browser erhaltene Dokument zu laden, besteht eine Chance, dass das Programm sich deterministisch genug verhält, damit das Dokument immer an dieselbe Adresse geladen wird. In diesem Fall lässt sich der Schadcode zur Ausführung bringen.

Auch dann bestehen erhebliche Unsicherheiten für den Angreifer. Die Ladeadresse des Dokuments kann sich etwa in Abhängigkeit davon verändern, ob der Browser die Datei im Verzeichnis C:Usersuser1Temporary Internet Files oder in C:Benutzerusername2Temporäre Internet Dateien speichert. Dabei spielt auch die Anzahl der Zeichen im Benutzernamen eine Rolle. Es ist durchaus möglich, dass der jetzt entdeckte Schadcode nur Benutzernamen mit einer bestimmten Anzahl von Zeichen trifft.

Grundsätzlich ist die Wahrscheinlichkeit, von einem solchen Angriff betroffen zu sein, vergleichbar mit dem Knacken des Jackpots beim Lotto. Größere Unternehmen, die zehntausende von Rechnern besitzen, machen aber schon eine recht große „Tippgemeinschaft“ aus. Es ist davon auszugehen, dass die chinesische Regierung ihren Angriff auf Millionen von PCs angesetzt und bei etwa 30 Rechnern einen Treffer gelandet hat.

Auch bei dieser statistisch geringen Ausbeute kann die „Leistung“ der chinesischen Hacker von der Programmiertechnik her nur bewundert werden. Eine funktionierende Malware durch Ausnutzung einer Speicherarithmetiklücke ist kein Code, den man schnell mal programmieren kann. Es dürften monatelange „Forschungsarbeiten“ durch sehr gut ausgebildete Spezialisten vorangegangen sein.

Page: 1 2 3 4 5 6 7

ZDNet.de Redaktion

Recent Posts

Deutscher Cybersicherheitsmarkt erstmals elfstellig

Im Jahresvergleich legen die Ausgaben für IT Security um fast 14 Prozent zu. Gut die…

1 Woche ago

14,6 Millionen geleakte Konten in Deutschland im dritten Quartal

Mehr Datenverstöße registriert Surfshark in den USA, Frankreich und Russland. Hierzulande werden im dritten Quartal…

1 Woche ago

Google schließt drei schwerwiegende Sicherheitslücken in Chrome 130

Browsererweiterungen können die Sicherheitsfunktion Site Isolation aushebeln. Betroffen sind Chrome für Windows, macOS und Linux.

1 Woche ago

IT-Ausgaben wachsen 2025 weltweit voraussichtlich um 9,3 Prozent

Das Plus fällt höher aus als in diesem Jahr. Das größte Wachstum der Ausgaben sagt…

1 Woche ago

Hackergruppe Lazarus nutzt Zero-Day-Lücke in Chrome

Die Anfälligkeit erlaubt das Einschleusen von Schadsoftware. Lazarus verbreitet über ein gefälschtes Browser-Game eine Spyware,…

1 Woche ago

Microsoft bestätigt weitere Probleme mit Windows 11 Version 24H2

Es besteht unter anderem ein Kompatibilitätsproblem mit Sound-Treibern von Intel. Gegebenenfalls können Software- oder Firmware-Updates…

1 Woche ago