Das Sicherheitsunternehmen Core Security Technologies hat vor einer ungepatchten Sicherheitslücke in Microsofts Virtualisierungssoftware Virtual PC gewarnt. Demnach kann ein Angreifer Sicherheitsmechanismen wie Datenausführungsverhinderung (DEP) und Adress Space Layout Randomization (ASLR) umgehen. Dadurch lassen sich Codeanfälligkeiten, die eigentlich nicht ausgenutzt werden können, möglicherweise auf einem virtualisierten Windows-System missbrauchen.
Ein Exploit-Programmierer von Core Security habe die Lücke im Virtual PC Hypervisor entdeckt und im August 2009 an Microsoft gemeldet, heißt es in einer Sicherheitswarnung des Unternehmens. Der Hypervisor ist ein Bestandteil von Windows Virtual PC, das Kunden ermöglicht, mehrere Windows-Umgebungen auf einem Computer auszuführen. Er ist auch eine Kernkomponente des XP-Modus von Windows 7, der die Migration älterer Anwendungen, die Windows XP benötigen, vereinfachen soll.
Microsoft plant laut Core Security, das Problem im Rahmen eines Service Pack für die anfälligen Produkte zu beheben. Dazu gehören Microsoft Virtual PC 2007, Windows Virtual PC und Virtual Server 2005. Microsofts Hyper-V-Technologie ist nicht betroffen. „Der Fehler muss an einem regulären Patchday korrigiert werden und nicht erst mit einem Service Pack, das irgendwann in der Zukunft erscheinen wird“, sagte Ivan Acre, CTO von Core Security, in einem Telefoninterview.
Nach Ansicht des Softwareanbieters handelt es sich nicht um eine neue Schwachstelle, sondern nur um eine Möglichkeit, schon vorhandene Sicherheitslücken einfacher auszunutzen. „Die Effektivität der Schutzmechanismen des Windows-Kernels wird im Vergleich zu einem physischen Computer in einer virtuellen Maschine herabgesetzt“, schreibt der Microsoft-Mitarbeiter Paul Cooke in einem Blogeintrag.
Core Security kritisiert, dass Anwendungen, die beispielsweise im XP-Modus ausgeführt würden, weniger sicher seien, als wenn sie auf einem physischen Computer liefen. „Ich kann garantieren, dass jedes Desktop-System eine Schwachstelle hat, besonders wenn es Sicherheitslücken gibt, die nicht geschlossen wurden, weil sie zuvor nicht ausgenutzt werden konnten“, so Acre. Auch ein virtualisierter Desktop sei ein lohnendes Angriffsziel.
Über drei Millionen Angriffsversuche unter Deckmantel von Minecraft / YouTube-Star Mr. Beast als prominenter Köder
Die Prognose für die Anfahrt bezieht das Verkehrsaufkommen, die Stellplatzverfügbarkeit sowie die Lenk- und Ruhezeiten…
Unternehmen können mit Casebase Portfolio an Daten- und KI-Anwendungsfällen organisieren.
Smart-TV oder Saugroboter: Nutzer schützen ihre smarten Heimgeräte zu wenig, zeigt eine repräsentative BSI-Umfrage.
Im Benchmark erreicht der neue Core Ultra 200V eine Laufzeit von 14 Stunden. Intel tritt…
Jeder dritte hält sich damit für unsichtbar. Wie widersprüchlich unser Datenschutzverhalten oft ist, zeigt eine…