/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Jeg har installleret nyt software. Er min ~
Fra : Povl H. Pedersen


Dato : 14-08-04 08:24

Jeg har installeret Windows XP SP2 på min Windows æske, og da
jeg har en AMD x86_64 CPU, så har Windows slået sin nye no_exec
feature til.

Betyder dette at jeg er sikret mod buffer overflows ? Beskytter
det både stackbaserede data, eller også heap data ?

Hvor godt er det egentlig ?

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
SIPPhone: 1-747.NOT.BYYI (668.2994) - Free Internet Phone

 
 
Kent Friis (14-08-2004)
Kommentar
Fra : Kent Friis


Dato : 14-08-04 08:51

Den Sat, 14 Aug 2004 07:24:09 +0000 (UTC) skrev Povl H. Pedersen:
> Jeg har installeret Windows XP SP2 på min Windows æske, og da
> jeg har en AMD x86_64 CPU, så har Windows slået sin nye no_exec
> feature til.
>
> Betyder dette at jeg er sikret mod buffer overflows ? Beskytter
> det både stackbaserede data, eller også heap data ?

Nej, det betyder at man ikke længere kan udnytte en buffer-overflow
ved at putte kode på stacken. Det forhindrer ikke buffer-overflow'en,
det resulterer bare i et crash hvis nogen forsøger.

Men ikke alle buffer-overflows putter kode på stack'en, man kan også
ændre retur-adressen, hvilket NX ikke kan forhindre, og så returnere
til noget kode der allerede er på maskinen, som gør det angriberen
ønsker. Fx hvis der er en buffer-overflow i Remote Desktop, så
kunne man forestille sig at man ændrede retur-adressen til en
adresse efter password-checket, så maskinen ikke spørger om password.

> Hvor godt er det egentlig ?

Bedre end ingenting.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Povl H. Pedersen (14-08-2004)
Kommentar
Fra : Povl H. Pedersen


Dato : 14-08-04 20:54

In article <411dc469$0$73937$14726298@news.sunsite.dk>, Kent Friis wrote:
> Den Sat, 14 Aug 2004 07:24:09 +0000 (UTC) skrev Povl H. Pedersen:
>> Jeg har installeret Windows XP SP2 på min Windows æske, og da
>> jeg har en AMD x86_64 CPU, så har Windows slået sin nye no_exec
>> feature til.
>>
>> Betyder dette at jeg er sikret mod buffer overflows ? Beskytter
>> det både stackbaserede data, eller også heap data ?
>
> Nej, det betyder at man ikke længere kan udnytte en buffer-overflow
> ved at putte kode på stacken. Det forhindrer ikke buffer-overflow'en,
> det resulterer bare i et crash hvis nogen forsøger.

Fungerer det ved at man markerer "pages" som no-execute ? Så
kan det principielt også bruges til heapen.

> Men ikke alle buffer-overflows putter kode på stack'en, man kan også
> ændre retur-adressen, hvilket NX ikke kan forhindre, og så returnere
> til noget kode der allerede er på maskinen, som gør det angriberen
> ønsker. Fx hvis der er en buffer-overflow i Remote Desktop, så
> kunne man forestille sig at man ændrede retur-adressen til en
> adresse efter password-checket, så maskinen ikke spørger om password.

Så der er stadig det problem at man endnu ikke har nærmet sig
stacken som i Forth, nemlig en program stack, og en data stack.

Man kan vel også kalde et vilkårligt Windows kald med parametre ?

>> Hvor godt er det egentlig ?
>
> Bedre end ingenting.

Det er ikke meget..

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
SIPPhone: 1-747.NOT.BYYI (668.2994) - Free Internet Phone

Kent Friis (14-08-2004)
Kommentar
Fra : Kent Friis


Dato : 14-08-04 21:44

Den Sat, 14 Aug 2004 19:54:12 +0000 (UTC) skrev Povl H. Pedersen:
> In article <411dc469$0$73937$14726298@news.sunsite.dk>, Kent Friis wrote:
>> Den Sat, 14 Aug 2004 07:24:09 +0000 (UTC) skrev Povl H. Pedersen:
>>> Jeg har installeret Windows XP SP2 på min Windows æske, og da
>>> jeg har en AMD x86_64 CPU, så har Windows slået sin nye no_exec
>>> feature til.
>>>
>>> Betyder dette at jeg er sikret mod buffer overflows ? Beskytter
>>> det både stackbaserede data, eller også heap data ?
>>
>> Nej, det betyder at man ikke længere kan udnytte en buffer-overflow
>> ved at putte kode på stacken. Det forhindrer ikke buffer-overflow'en,
>> det resulterer bare i et crash hvis nogen forsøger.
>
> Fungerer det ved at man markerer "pages" som no-execute ? Så
> kan det principielt også bruges til heapen.

I princippet ja, men om windows gør det????

>> Men ikke alle buffer-overflows putter kode på stack'en, man kan også
>> ændre retur-adressen, hvilket NX ikke kan forhindre, og så returnere
>> til noget kode der allerede er på maskinen, som gør det angriberen
>> ønsker. Fx hvis der er en buffer-overflow i Remote Desktop, så
>> kunne man forestille sig at man ændrede retur-adressen til en
>> adresse efter password-checket, så maskinen ikke spørger om password.
>
> Så der er stadig det problem at man endnu ikke har nærmet sig
> stacken som i Forth, nemlig en program stack, og en data stack.

Det kræver en større ændring af CPU'en...

> Man kan vel også kalde et vilkårligt Windows kald med parametre ?

Det kommer an på om man har mulighed for at returnere direkte til
et windows kald...

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Alex Holst (14-08-2004)
Kommentar
Fra : Alex Holst


Dato : 14-08-04 21:54

Povl H. Pedersen wrote:
> Fungerer det ved at man markerer "pages" som no-execute ? Så
> kan det principielt også bruges til heapen.
   http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Kasper Dupont (15-08-2004)
Kommentar
Fra : Kasper Dupont


Dato : 15-08-04 07:37

Alex Holst wrote:
>
> Povl H. Pedersen wrote:
> > Fungerer det ved at man markerer "pages" som no-execute ? Så
> > kan det principielt også bruges til heapen.
> http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2mempr.mspx

Det lyder ikke som om deres software løsning er særlig
meget værd. Udfra beskrivelsen er den i hvert fald ikke
nær så effektiv som PaX eller ExecShield. Men måske kan
den beskytte mod angreb som det her?

http://www.google.com/search?q=cache:OyUSKJKTE7wJ:security.tombom.co.uk/shatter.html

--
Kasper Dupont -- der bruger for meget tid paa usenet.
Design #413859655
It's a computer monitor! It is great for hammering in nails!

Kasper Dupont (15-08-2004)
Kommentar
Fra : Kasper Dupont


Dato : 15-08-04 07:16

"Povl H. Pedersen" wrote:
>
> Betyder dette at jeg er sikret mod buffer overflows ? Beskytter
> det både stackbaserede data, eller også heap data ?

Er det nemmeste ikke at afprøve det? Her er et lille
program, der prøver at afvikle kode fra stakken. Det
kan nemt modificeres til at afvikle kode fra hvor du
nu måtte have lyst til.

Jeg har ikke noget Windows system at køre det på, så
jeg har kun testet det under Linux. På Fedora Core 1
går programmet ned, altså afviklen af kode fra
stakken kan ikke lade sig gøre. Hvis jeg slår
exec-shield fra virker programmet.

Prøv at compilere programmet, og check så at programmet
virker på en Windows XP uden SP2 og at programmet går
ned på en Windows XP med SP2.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
Design #413859655
It's a computer monitor! It is great for hammering in nails!


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste