AMD enthüllt: 64-Bit-CPUs besitzen integrierten "Buffer overflow"-Schutz

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von pausenclown, 15. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. TroRaZen

    TroRaZen ROM

    Registriert seit:
    2. November 2000
    Beiträge:
    4
    Aktuelle Prozessoren (Intel-Kompatible) reagieren gar nicht auf einen Buffer Overflow, wenn er auf dem Stack passiert. Sie erkennen ihn nicht mal. Das Programm läuft einfach an einer anderen Stelle weiter, wo eventuell schadhafter Code steht, der meist final zu einem Ansturz des Prozesses führt.

    Ich hätte mir hier etwas mehr Info gewünscht, wie AMD das Problem lösen will, bzw. gelöst hat. Vermutlich hat die PC-Welt diese Info aber nicht - schade.

    Gruß

    TroRaZen
     
  2. pausenclown

    pausenclown Halbes Megabyte

    Registriert seit:
    29. Mai 2002
    Beiträge:
    564
    Es sind ja nicht nur Viren und Würmer auch andere Attaken auf Sicherheitslücken verwenden ja oft den Pufferüberlauf umd sich Zugang zu verschaffen.

    Finde es löblich das hier was in Sachen Sicherheit getan wird.
    Dumm: Nun steht Intel schon wieder auf dem Schlauch.
     
  3. Crusader0815

    Crusader0815 Byte

    Registriert seit:
    27. November 2003
    Beiträge:
    27
    Naja, sie reagieren schon. Aber eben so, wie es derjenige, der den Bufferoverflow ausnutzt, um schädlichen Code auf einem anderen System auszuführen, haben will. :D
     
  4. Lactrik

    Lactrik Guest

    Ach nein? Und was ist mit diesem Absatz hier:

    "Herkömmliche Prozessoren erkennen einen "Buffer overflow" und reagieren auf diesen mit einem Befehl, der zum System-Absturz führt. Schädlicher Code kann dabei dennoch auf den Rechner gelangen. "

    Das widerspricht sich mit der Tatsache, dass aktuelle x86 Prozessoren auf einen Buffer overflow nicht reagieren...
     
  5. ChrisAssassin

    ChrisAssassin Halbes Megabyte

    Registriert seit:
    7. Januar 2001
    Beiträge:
    722
    Das ist ja ein neuer Prozessor. Was mit den aktuellen ist, ist doch egal!
    Darüber schreibt der Artikel ja auch gar nix!
     
  6. Naqernf

    Naqernf Kbyte

    Registriert seit:
    15. Januar 2004
    Beiträge:
    131
    Ja, aber welche? Selbst Code einfügen geht ja nicht, der Exploit müsste also irgendwas schon im Speicher Vorhandenes nehmen, von dem er die Adresse kennt, auf eine Windows-Funktion hoffen oder so...
    ...aber nur segmentweise. Was erfordern würde, dass das Stacksegment auch schön vom Rest getrennt ist - ist wohl bei Windows nicht der Fall...? Alles schön "flat"...? Da bin ich jetzt auch überfragt, was Details angeht...
     
  7. c2j2

    c2j2 Byte

    Registriert seit:
    18. Juli 2002
    Beiträge:
    28
    aber die Adresse eines ausführbaren Teils kann auf den Stack geschrieben werden.

    Das "Exec" bit ist uralt (386?)...
     
  8. Naqernf

    Naqernf Kbyte

    Registriert seit:
    15. Januar 2004
    Beiträge:
    131
    Mal abgesehen davon, dass dieses No-Execute-Bit auf Page-Ebene mindestens seit Aug.2002 im "AMD x86-64 Architecture Programmer?s Manual" dokumentiert ist...

    Wenn die Pages, in denen der Stack liegt, entspr. geschützt sind, kann eben kein bösartiger Code durch einen Buffer-Overflow-Exploit eingefügt und aufgerufen werden. Also wird höchstens der Prozess abgebrochen.
     
  9. LordSim

    LordSim Byte

    Registriert seit:
    19. März 2003
    Beiträge:
    71
    Das mit dem integrierten Schutz ist doch primo; bis ein findiger Programmierer was findet, um dort vorbeizukommen oder gar an der Ecke was auszunutzen (bäh; lass Windumpf bleiben, und Formatiere lieber die Platte).

    Aber Vorsicht ist immer noch die Mutter des Porzellanladens. Dazu gehört eben eine Armee (aktueller!) Hilfssprogramme wie Virenscanner & Co.; der beste Schutz ist aber immer noch: Stöpsel aus der Steckdose; Akku aus dem Schlepptop. Dann gibt's auch garantiert keine Viren & Co. :aua:.
     
  10. mgaugusch

    mgaugusch Byte

    Registriert seit:
    10. Juli 2000
    Beiträge:
    98
    Auch wenn es grundsätzlich richtig ist, unnötige Dienste nicht zu starten, hab ich selten so einen Mist gehört wie oben. Der Blaster nutzt nämlich eine Sicherheitslücke im RPC service (svchost.exe ist nur ein Hilfsprogramm für diverse services, wie eben das RPC service). RPC ist einer der wichtigsten Dienste in Windows (u.a. geht da auch die Zwischenablage drüber, aber noch viele andere interne Sachen auch). D.h.: Man kann es nicht abdrehen!
    Man kann nur eines machen: Firewall, Virenscanner, regelmäßige Updates. Man kann nicht nur, man muß sogar! Alles andere ist fahrlässig!
     
  11. ChrisAssassin

    ChrisAssassin Halbes Megabyte

    Registriert seit:
    7. Januar 2001
    Beiträge:
    722
    Meine Frage sollte auch sein, ob ich gleich ALLE DREI svchost Dienste beenden soll und ob das wirklich gut ist.
     
  12. Crusader0815

    Crusader0815 Byte

    Registriert seit:
    27. November 2003
    Beiträge:
    27
    Aktuelle Scanner müßten ihn erkennen.
    Wenn du eine Firewall laufen hast oder du den Sicherheitspatch von MS installiert hast, dürftest du zumindest von diesem Virus verschont bleiben. Von anderen aber vielleicht nicht. ;)

    Svchost ist auch nicht der Virus, falls du das meintest. Svchost ist ein normales Winows-Programm, welches eine mögliche Sicherheitslücke im System öffnet, wenn das Programm nicht gepatched wurde. Diese Lücke nutzt der blaster-Virus aus, um sich zu verbreiten.
    Svchost wird aber nur in den seltesten Fällen auch wirklich von den Anwender gebraucht. Deshalb ist es um so unverständlicher, dass es bei der Standardinstallation von WinXp ohne Nachfrage gleich installiert und automatisch gestartet wird.
     
  13. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.657
    Den Blaster hatte ich nie, denn ich habe nach dem Neueinrichten der Platte den Blaster-Patch in w2k installiert, bevor ich das erste mal online ging.

    Ansonsten benutze ich ständig Brain 2004, den besten Schutz gegen Schädlinge aus dem Netz.
     
  14. ChrisAssassin

    ChrisAssassin Halbes Megabyte

    Registriert seit:
    7. Januar 2001
    Beiträge:
    722
    Meinst du das Ernst mit svchost?

    Ich hab diese Datei einmal als System, einmal als Lokaler und noch einmal als Netzwerkdienst laufen.

    Ich habe Blaster noch nicht gehabt, oder erkennt ein Virenscanner Blaser nicht?
     
  15. Crusader0815

    Crusader0815 Byte

    Registriert seit:
    27. November 2003
    Beiträge:
    27
    Virenscanner bringen nur was, wenn das Programm vom Virenscanner auch als solcher identifiziert wird. Das bedeutet, es muß ein bekannter Virus sein. Ist er noch unbekannt oder zu wenig weit verbreitet, erkennt der Virenscanner den Virus als normales Programm an und man hat den Salat. ;)

    Desktopfirewalls bringen nix, weil sie evtl. mehr Sicherheitslücken öffnen, als sie schließen. Besser die Programme/Dienste selbst beenden, die Sicherheitslücken öffnen könnten.
    Z.B. svchost bei WinXp beenden, um zu verhindern, dass man den msblast bekommt.
     
  16. ChrisAssassin

    ChrisAssassin Halbes Megabyte

    Registriert seit:
    7. Januar 2001
    Beiträge:
    722
    So würde ich das nicht sagen.

    Wenn z.B. durch einen Doppelclick auf 'ne exe ein Virus geöffnet wird, dann macht den der Virenscanner falls Autoprotect o.ä. an ist direkt weg.
    Dann macht auch der unbedachte Doppelklick keinen ernsten Schade, oder!?
     
  17. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.657
    Was nützt die beste Sicherung, wenn ein unbedachter >Doppelklick< dies zu nichte macht?
     
  18. ChrisAssassin

    ChrisAssassin Halbes Megabyte

    Registriert seit:
    7. Januar 2001
    Beiträge:
    722
    Man sollte jetzt aber nicht denken, dass ich sicher bin, nur weil ich nen A64 habe!

    Man sollte vielmehr weiter auf seine Firewall / Router mit Firewall und Virenscanner verlassen.

    Mit AMDs Schutz hat man nämlich viellleicht eine Sorte von Viren unterbunden, aber nicht alle.
     
  19. cYpro$

    cYpro$ Byte

    Registriert seit:
    17. November 2003
    Beiträge:
    52
    also ich find es korrekt das AMD so was auf dem Markt bringt,
    und ich habe mir letztens noch den P4 HT 3.0 gekauft.. :confused:

    Naja läuft aber auch *gg*
    bis dann

    cYpRo$
     
  20. GraveDigga

    GraveDigga Byte

    Registriert seit:
    5. März 2001
    Beiträge:
    73
    der BIOS-Virenalarm schreit nur wenn der BootRecord von Festplatten verändert wird. da das bei den heutigen viren quasi nicht mehr der fall ist, ist diese einstellung nicht mehr zeitgemäß. der amd-buffer-overflow-schutz ist dagegen heutzutage viel interessanter.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen