Vor einigen Tagen hatte ich einen kleinen Artikel zu PDF Exploits geschrieben und heute wurde ich durch heise.de auf ein aktuelles Problem aufmerksam. heise.de hat hier durchaus einen recht lesenswerten Artikel geschrieben, der auf eine Publikation von Hovav Shacham verweist. Dieser Exploit veröffentlicht von jduck ist wirklich sehr bemerkenswert und eine gute Arbeit.
Somit kann gesagt werden, dass ein Exploit existiert, der die Speicherschutzfunktion unter Windows, die Data Execution Prevention (DEP), aushebelt. Bisher hätte ich nicht gedacht, dass dies geht, aber nun sehe ich: Ja, es geht.
Damit ist es nur eine Frage der Zeit, bis dies Anwendung in der Verbreitung von Schadsoftware findet. Da auch völlig normale Webseiten Schadcode beinhalten können, so ist es sinnvoll, sensible Systeme vollständig vom Netzwerk zu trennen. Hat man nichts sensibles, kein Online-Banking oder etwas in der Art, so sollte darüber nachgedacht werden, in wie weit es möglich ist, sich vor gängigen Exploits, wie dem PDF Exploit zu schützen. Angemerkt werden muss ebenso, das auch seltene Fremdprodukte angreifbar sind, sei es auch OpenSource Software. Der Griff zu einer anderen Marke bringt unter Umständen nicht viel.
Angriffe können auch dynamisch erfolgen, so wird nicht umsonst geprüft, welchen Browser der Benutzer mit welchen Erweiterungen nutzt.
Weitere lesenswerte Dinge zu diesem Thema:
2010-03-18: The Latest Adobe Exploit and Session Upgrading
Adobe Acrobat Bundled LibTIFF Integer Overflow
Understanding DEP as a mitigation technology part 1
The Geometry of Innocent Flesh on the Bone: Return-into-libc without Function Calls (on the x86) By Hovav Shacham
Memory Protection Technologies
Bypassing Windows Hardware-enforced Data Execution Prevention
Exploits für alle: Metasploit unterstützt nicht nur beim Finden sondern auch beim Ausnutzen von Sicherheitslücken