News Sicherheit: Web-Seiten bringen Windows Vista, 7 und 8.x zum Absturz

[DeusoftheWired]

Interessante Kleinigkeit aus dem Link von Helios_ocaholic:

According to users that have tested the bug and commented on Anatolymik's blog post, Chrome will refuse to load images with malformed paths, such as the $MFT exploit.

Hier die automatisch von russisch nach englisch übersetzte Version der Quelle mit technischen Details: https://translate.google.com/transl....ru/company/aladdinrd/blog/329166/&edit-text=

 

[immortuos]

Begründe bitte warum das Lächerlich ist. Ohh die Weiterentwicklung hat das Problem nicht. Wie konntet ihr nur?!?!?!

Was muss man da begründen? Alle drei genannten Versionen hatten noch Support als W10 raus kam, der einzige Grund warum sowas nicht gefixt wird ist dass Microsoft die Leute zu W10 (er)pressen will.

 

[Rollkragen]

So langsam kommt der Verdacht auf, die Probleme könnten von Microsoft selbst programmiert oder cleverer von Fremdfirmen im Auftrag von Microsoft sein. Sicherheitslücken wo W10 regelmäßig nicht betroffen ist jedoch alle vorherigen Windows Versionen. Vor Monaten war Microsoft mit seiner aggressiven Upgrade Politik kritisiert worden. Was ist wenn nicht genannte "Sicherheitslücken, Hackerangriffe usw." eine weitere Form sind, den unwilligen User auf Windows 10 zu trimmen.

 

[22428216]

@CB:

Ist das ein Tippfehler im Artikel?

"Sicherheitsexperten von Aladdin RD haben einen Bug in den OS-Versionen Windows Vista, Windows 8 und Windows 8 inklusive 8.1 gefunden,[...]"

Da sollte wohl Windows 7 stehen?

 

[Xidus]

Nicht zwangsläufig. Es kann auch einfach sein, dass Windows 10 generell bessere Sicherheitskonzepte hat, als die Vorgänger. Allgemeine Konzepte, die auch gegen Sicherheitslücken greifen, die (noch) nicht explizit bekannt sind.

Ich denke, man darf bei allem berechtigtem Misstrauen ruhig annehmen, dass MS kontinuierlich daran arbeitet, seine Betriebssysteme immer sicherer zu machen. Also (anders als früher) generell das Motto fährt, das OS so dicht wie möglich zu machen, statt nur nachträglich da zu stopfen, wo es schon bekannte Angriffe auf Lücken gibt.

Sehr schön geschrieben.
Endlich mal einer der er es versteht.

Was muss man da begründen? Alle drei genannten Versionen hatten noch Support als W10 raus kam, der einzige Grund warum sowas nicht gefixt wird ist dass Microsoft die Leute zu W10 (er)pressen will.

Wo her weißt du das es nicht gefixt wird wenn der Patchday nach dem Fund erst noch kommt?

 

[M-X]

@immortuos

Wie bereits erwähnt ist es gut möglich das Windows 10 intern eine anderes Sicherheitskonzept hat als W7&8 und daher von Haus aus nicht angreifbar ist.

Bei einer neuen OS Version ändert sich halt doch etwas mehr als die GUI.

 

[paunaro]

Was für ein Zufall das Win 10 nicht davon betroffen ist. Lächerlich...

Das einzig Lächerliche seid ihr (Aluhut)-Spinner!

 

[TrueAzrael]

Microsoft hat sich zumindest soweit zu dem Problem geäußert, dass dieses dem Unternehmen bekannt ist.

Wie ist das zu verstehen?

Wussten sie schon vor dem aktuellen Fall davon, oder ist das nur die Aussage: "Jaja haben wir schon mitbekommen..."

 

[El_Sheepy]

Also Heades85 und updater14, ihr seid vieles aber schon mal definitiv keine Softwareentwickler!

Das sind doch gewollte Fehler die da eingebaut wurden. Ein pobliger String bringt das System zum Absturz, das dient doch der Panikmache damit die ganzen "DAUs" sofort zu Win 10 wechseln. Ist das nicht offensichtlich?

(...)

Nein, das ist nicht offensichtlich. Der beschrieben Fehler ist absolut nachvollziehbar aus Programmierer Sicht. Du sitzt da und schreibst nen NTFS Treiber, klar, wenn wer versucht auf ein geschützten bereich zuzugreifen, erteilst du ihm ne abfuhr. Da dass aber nicht die Hauptaufgabe ist, testest du das nicht bis ultimo, viele Entwickler würden einfach den Zugriff erlauben weil sie es vergessen zu prüfen.
Ich kann mich an unzählige Deadlocks (genau das ist es) in meiner Karriere erinnern die genau so waren. Das ist ein stink normaler Fehler der einfach auftritt solange Menschen Programmieren. Hier eine Absicht zu unterstellen grenzt fast an Verleumdung.

Bei Whatsapp müsste ich mir erst die Details angucken um dazu was verlässliches zu sagen, aber klingt für mich danach als ob nen Entwickler irgendwas verstecken wollte was er erstmal so testen wollte und später vergessen hat auszubauen. Vllt. hat er es sich auch nur für seinen privaten Gebrauch eingebaut.

- Outlook (ohne Exchange) Suchfunktion funktioniert nicht mehr (Indexierungsproblem)
--> wurde zum April 2017 mit Version 1703 (Build 7967.2082) behoben
--> ist nun mit Version 1703 (Build 8067.2115) wieder außer Betrieb

(Noch 2 fehler)

Jo, das passiert leider viel viel viel zu oft. Weisst du wie oft ich dinge gefixt habe nur um 2 tage später festzustellen das es wer mit nem anderen commit wieder kaputt gemacht hat? Das sieht dann oft gleich aus, hat aber unterschiedliche Ursachen. Das kann dummerweise passieren. Den Fehler sehe ich dann darin das die QA es nicht bemerkt hat. Unsere merkt das leider immer wieder und dann muss man halt nochmal ran.

Und unterschiedliche Zweige habe unterschiedliche Patschhände. Auch nicht jeder Patch wird überall mit hingenommen. Das ist leider Realität und Alltag in der Softwareentwicklung.

Vom Chaos mit den unterschiedlichen Windows 10 Versionen wollen wir erst gar nicht sprechen

Genau, weil die hiermit nämlich gar nix zu tun haben

 

[obz245]

Das einzig Lächerliche seid ihr (Aluhut)-Spinner!

Sag einer der "Nichts zu verbergen hat"

 

[DefconDev]

Das einzig Lächerliche seid ihr (Aluhut)-Spinner!

Du willst mir also weiß machen, das in ca. 50mio zeilen Code irgend ein Russe gerade jetzt darauf kommt das System mit einem pobligen String der als Pfad angegeben wird zum Absturz bringen kann zufällig ist? Und zufälligerweise betrifft es Win 10 nicht?

Hinzu kommt noch, warum kann das Win 10 abfangen und die anderen nicht, also waren sich die Entwickler durchaus bewusst dass es zu einem Fehler kommen könnte wenn mtf Pfade falsch angegeben werden. Warum hat man das nicht in den alten Win versionen auch direkt behoben?

Ergänzung (29. Mai 2017)

Nein, das ist nicht offensichtlich. Der beschrieben Fehler ist absolut nachvollziehbar aus Programmierer Sicht. Du sitzt da und schreibst nen NTFS Treiber, klar, wenn wer versucht auf ein geschützten bereich zuzugreifen, erteilst du ihm ne abfuhr. Da dass aber nicht die Hauptaufgabe ist, testest du das nicht bis ultimo, viele Entwickler würden einfach den Zugriff erlauben weil sie es vergessen zu prüfen.
Ich kann mich an unzählige Deadlocks (genau das ist es) in meiner Karriere erinnern die genau so waren. Das ist ein stink normaler Fehler der einfach auftritt solange Menschen Programmieren. Hier eine Absicht zu unterstellen grenzt fast an Verleumdung.

Aber dieser Fehler muss MS vorher schon bekannt gewesen sein, denn vom Kern ist Win 8 und Win 10 kein riesen Unterschied. Also wie erklärst du dir das?


EDIT: Außerdem lese ich nichts von Deadlocks, woher weißt du denn dass sich da Threads gegenseitig im Weg stehen?

 

[Terixa]

Schon interessant, seit Windows 10 Release gibt es so viel Fehler für Windows 7/8.1,
bzw. in diesen knapp 2 Jahren gefühlt mehr als Früher in 5 Jahren.


Genau das selbe wie Amd und Intel, Windows 8.1 ist noch immer im Normalen Support (Jänner 2018), aber man bringt für den Chipsatz bzw. IGP einfach keinen "WHQL" Treiber für 8.1



Windows 10 zeigt einfach wie kaputt diese Gesellschaft ist,
Viele Nutzer lassen sich bedingt durch ihr "Hobby" zu allem zwingen bzw. bringt es MS sogar noch so hin das die User meinen alle anderen nicht Windows 10 User wären Spinner.

 

[Brandkanne]

Kurios erscheint es in diesem Zusammenhang jedoch, dass dies nicht auf die Microsoft-eigenen Browser zutrifft.

Kurios... irgendwie ja. Verwunderlich... leider nein.

 

[SaltyDog]

Seit wann schreibt man es 'Web-Seite' anstatt Webseite?

Ist genauso richtig wie ohne Bindestrich. Im deutschen kannst du solche Wörter zur "besseren Darstellung" mit Bindestrich trennen. Bei diesem Wort aber ist das aber zugegeben etwas ungewohnt bzw. eigentlich nicht nötig. So fern sich das Deppenleerzeichen nicht durchsetzt ist alles richtig.

 

[Vindoriel]

Win7 mit Firefox 64bit 53.0.2: Windows hängt sich auf ("Start, Herunterfahren" kann man noch anklicken, dann nichts mehr)
Eben Firefox auf 53.0.3 geupdatet, aber nochmal probiere ich es nicht mehr...

Wer will (in Adresszeile einfügen):

C:\$MFT\foo

 

[Xidus]

Wer will (in Adresszeile einfügen):

C:\$MFT\foo

hab ich gemacht nichts ist passiert außer das dort stand "Ihre Datei wurde nicht gefunden".

 

[Baddabumm]

Wer noch das "legendäre" Tool ac'tivAid benutzt/verwendet, kann das Dilemma leicht abfangen:

Unter "Hotstrings" $MFT eintragen:

msgbox, 16,MFT-Bug, mft-Bug Abbruch!,5
IfMsgBox Timeout

Schalter "AutoHotkey-Befehle" markieren
Schalter "Direkt ersetzten.." wählen
Schalter "Ersetzung auch innerhalb von Wörtern"

Wer will kann im Avast (Webschutz-Komponente) oder sonstigem Virenwächter noch *$MFT*" als blockieren setzen!

Nachtrag: Leider funktioniert es mit der Zwischenablage nicht - zumindest unter Firefox, sorry!

HTH

 

[andr_gin]

Gleich in die Adresszeile eingegeben und es hängt sich tatsächlich das Ganze System auf

Naja, solange es mit einem Reboot erledigt ist, ist es nur halb so wild. Fixen und fertig. Schlimmer wäre es, wenn der Zugriff nicht gesperrt werden würde.

Nur, dass eben alle Windows Versionen außer 10 betroffen sind, hat wieder mal ein "gschmäckle"!

greetz
hroessler

Ich warte ja nur darauf, bis die ersten Spambots solche Bilder in Forenthreads einbinden oder die Leute, die sich einen Spaß erlauben und so einen Link in eine Google Ad Anzeige einbetten.

Schlimmer wird es noch dadurch, dass diese sogar ein einfacher User ohne Adminrechte machen kann. Was glaubst du ist auf einem größeren Terminalserver los, wenn jemand ein Email mit entsprechendem Link in Outlook öffnet und der ganze Server hängt, womöglich auch der Remote Desktop Dienst, wenn sich der Admin drauf verbinden will.

Solche Dinge zu überprüfen ist nicht die Aufgabe eines Browsers. Dies ist eine schwerwiegende Lücke im NTFS Treiber.

 

[grossernagus]

Was ist eigentlich, wenn man Win 7 oder 8 im Uefi Modus mit GPT installiert hat. Dann dürfte dieser Code wahrscheinlich keine Auswirkung haben?

 

[Yuuri]

Das sind doch gewollte Fehler die da eingebaut wurden. Ein pobliger String bringt das System zum Absturz, das dient doch der Panikmache damit die ganzen "DAUs" sofort zu Win 10 wechseln. Ist das nicht offensichtlich?

Stimmt, seit mindestens 7 SP1. Ab da an wollte Microsoft bereits, dass alle auf 10 wechseln. Bitte Herr gib Hirn.