Warum Virenscanner nicht alle Gefahren entdecken
Tückische Gefahrenstelle Puffer-Überlauf

Die neusten Aktualisierungen für Windows sollen vor allem die Gefahr durch Puffer-Überläufe bannen. Gefährlich sind diese Schwachstellen, weil in anscheinend ungefährlichen Daten gefährliche Programme versteckt sein können.

hiz DÜSSELDORF. Wieder einmal stellte Microsoft Aktualisierungen für die Windows-Betriebssysteme und das Office-Paket ins Internet. Die Sicherheitslücken stuft der Hersteller als kritisch ein, weil geschickte Programmierer so genannte Puffer-Überläufe erzeugen können. Über die Schwachstellen werden dann ausführbarer Programme in das Betriebssystem eingeschmuggelt und ausgeführt.

Ein Puffer-Überlauf tritt immer dann auf, wenn Daten aus dem vorgesehenen Bereich hinauslaufen. Vereinfacht kann man sich vorstellen, dass eine WMF-Grafik mit 100x100 Pixel angegeben wird. Das Betriebsystem reserviert den notwendigen Platz für diese Daten im Arbeitsspeicher. Das Bild wurde allerdings so manipuliert, dass es viel größer ist als angegeben. Normalerweise sollte das Betriebsystem solche Überläufe abweisen. Bei den Schwachstellen konnte diese Prüfung jedoch unterlaufen werden. Damit stehen plötzlich Daten in Bereichen, die nicht mehr geschützt sind.

Für einen Prozessor sind alle Inhalte Bits und Bytes, egal ob Programme oder Daten. Erklärt man ihm, dass ab einer bestimmten Speicheradresse ein Programm beginnt, so springt er dort hin und interpretiert die Bitmuster als ausführbaren Code. Die Daten, die nach einem Puffer-Überlauf wild im Speicher herumstehen, können natürlich auch Bitmuster sein, die für den Prozessor ein sinnvolles Programm ergeben. Genau diese Tatsache nutzen die Programmierer aus. Sie schmuggeln über Bilder, Fonts oder Formatanweidungen ausführbare Programme ein, die sie starten, in dem sie dem Prozessor die Startadresse des eingeschleusten Programms unterschieben. So können dann Spionnageanwendungen, Viren und Trojaner in den Rechner gelangen. Im schlimmsten Fall prüfen die Virenscanner die Dateien nicht, weil es sich „nur“ um Daten oder Bilder handelt.

Die Anleitungen, wie solche Manipulationen vorgenommen werden können, sind auf den einschlägigen Hackerseiten detailliert beschrieben und von erfahrenen Programmierern schnell nachvollziehbar. Nur wenn das Betriebssystem diese Überläufe verhindert, ist der PC vor Angriffen sicher. Deswegen empfehlen Betriebsystemanbieter wie Microsoft, solche Aktualisierungen immer sofort einzuspielen. Dabei ist nicht nur Windows anfällig für Puffer-Überläufe. Auch bei anderen Betriebssystemen wie Unix oder Linux sind schon solche Lücken aufgetaucht.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%