Wenn Microsoft in Windows neue Sicherheitskonzepte einbringen will, etwa gegen Exploits für Pufferüberläufe und Null-Pointer-Dereferenzierungen, ist das in der Praxis oft schwierig. Techniken wie Data Execution Prevention (DEP), und Address Space Layout Randomization (ASLR) führen bei zahlreichen Programmen dazu, dass sie nicht mehr laufen.
Vor allem ältere Anwendungen sind betroffen. Aber auch viele aktuelle Applikationen, die erst nach der Einführung einer neuen Sicherheitstechnik entwickelt wurden, verweigern ihren Dienst, wenn bestimmte Security-Features eingeschaltet sind.
In der Regel geht Microsoft so vor, dass neue Sicherheitsfeatures standardmäßig abgeschaltet sind. Ein Applikationshersteller kann beim Linken einer neuen Version seines Programms ein Flag setzen, dass seine Anwendung mit dem Feature kompatibel ist. Dann schaltet Windows das Feature für diese Applikation ein.
Das nützt allerdings wenig für ältere Applikationen und für neue Programme von Herstellern, die sich um die Sicherheit wenig Gedanken machen. In der kommerziellen Softwareentwicklung ist es oft so, dass sich die derzeitig angestellten Programmierer nur mit Teilen des Codes auskennen. Häufig benutzen sie alte Routinen, von denen sie nicht mehr wissen, als dass sie irgendwann jemand geschrieben hat, der nicht mehr bei der Firma ist.
Manchmal stellen Entwickler fest, dass auch die neueste Version ihres Programms mit DEP oder ASLR nicht läuft und lassen es dabei bewenden. Sich in den alten Code einzuarbeiten kostet zu viel Zeit.
Für den Anwender ist das wenig hilfreich. Aus diesem Dilemma will Microsoft mit seinem "Enhanced Mitigation Experience Toolkit" (EMET) helfen. Letzte Woche ist die Version 2.0 erschienen, die zum Download bereit steht.
Die generelle Funktionsweise von EMET ist denkbar einfach: Die verschiedenen Sicherheitstechnologien lassen sich für jede Anwendung einzeln ein- oder ausschalten. So können auch ältere Programme von der erhöhten Sicherheit profitieren.
Mit der jetzt erschienenen Version 2.0 lassen sich die Technologien Data Execution Prevention (DEP), Structured Exception Handling Overwrite Protection (SEHOP), Nullpointer-Dereferenzierungsschutz (NullPage), Heap Spray, Export Address Table Access Filtering (EAF) und Address Space Layout Randomization (ASLR) steuern.
Nicht mit dabei ist ein Schutz gegen das sogenannte Remote Binary Planting, auch DLL-Hijacking genannt. Vor zwei Wochen wurde bekannt, dass zahlreiche Windows-Anwendungen mit Remote Binary Planting kompromittiert werden können. Darunter befinden sich Firefox, Word 2007 und Powerpoint 2007/2010.
Microsoft will EMET 2.0 allerdings in regelmäßigen Abständen updaten. Ein Schutz gegen Remote Binary Planting wird daher vermutlich nicht lange auf sich warten lassen. Derzeit existiert nur ein vorübergehendes Mitigation Tool, das nur durch direkte Eingriffe in die Registry bedient werden kann.
Apple baut seinen Vorsprung vor Samsung aus. Auch in diesem Jahr sollen die Verkaufszahlen ansteigen.
Check Point Research wechseln Cyber-Kriminelle verstärkt von ChatGPT zu DeepSeek und Qwen.
Künstliche Intelligenz steigert auch die Produktivität von Cyberkriminellen. Malwarebytes erwartet, dass sich des Wettrüsten zwischen…
Die mutmaßlich koreanischen Hacker suchen unter anderem Softwareentwickler. Ein von ihnen bereitgestelltes Repository enthält Schadsoftware.
Patches sind in der finalen Version von Chrome 133 enthalten. Angreifer können unter Umständen aus…
Sie erlauben unter Umständen eine Remotecodeausführung. Betroffen sind Firefox 134 und Firefox ESR 128.6 für…