AMD enthüllt: 64-Bit-CPUs besitzen integrierten "Buffer overflow"-Schutz

Aktuelle Prozessoren (Intel-Kompatible) reagieren gar nicht auf einen Buffer Overflow, wenn er auf dem Stack passiert. Sie erkennen ihn nicht mal. Das Programm läuft einfach an einer anderen Stelle weiter, wo eventuell schadhafter Code steht, der meist final zu einem Ansturz des Prozesses führt.

Ich hätte mir hier etwas mehr Info gewünscht, wie AMD das Problem lösen will, bzw. gelöst hat. Vermutlich hat die PC-Welt diese Info aber nicht - schade.

Gruß

TroRaZen

 

Es sind ja nicht nur Viren und Würmer auch andere Attaken auf Sicherheitslücken verwenden ja oft den Pufferüberlauf umd sich Zugang zu verschaffen.

Finde es löblich das hier was in Sachen Sicherheit getan wird.
Dumm: Nun steht Intel schon wieder auf dem Schlauch.

 

Naja, sie reagieren schon. Aber eben so, wie es derjenige, der den Bufferoverflow ausnutzt, um schädlichen Code auf einem anderen System auszuführen, haben will.

 

Ach nein? Und was ist mit diesem Absatz hier:

"Herkömmliche Prozessoren erkennen einen "Buffer overflow" und reagieren auf diesen mit einem Befehl, der zum System-Absturz führt. Schädlicher Code kann dabei dennoch auf den Rechner gelangen. "

Das widerspricht sich mit der Tatsache, dass aktuelle x86 Prozessoren auf einen Buffer overflow nicht reagieren...

 

Das ist ja ein neuer Prozessor. Was mit den aktuellen ist, ist doch egal!
Darüber schreibt der Artikel ja auch gar nix!

 

Ja, aber welche? Selbst Code einfügen geht ja nicht, der Exploit müsste also irgendwas schon im Speicher Vorhandenes nehmen, von dem er die Adresse kennt, auf eine Windows-Funktion hoffen oder so...

...aber nur segmentweise. Was erfordern würde, dass das Stacksegment auch schön vom Rest getrennt ist - ist wohl bei Windows nicht der Fall...? Alles schön "flat"...? Da bin ich jetzt auch überfragt, was Details angeht...

 

aber die Adresse eines ausführbaren Teils kann auf den Stack geschrieben werden.

Das "Exec" bit ist uralt (386?)...

 

Mal abgesehen davon, dass dieses No-Execute-Bit auf Page-Ebene mindestens seit Aug.2002 im "AMD x86-64 Architecture Programmer?s Manual" dokumentiert ist...

Wenn die Pages, in denen der Stack liegt, entspr. geschützt sind, kann eben kein bösartiger Code durch einen Buffer-Overflow-Exploit eingefügt und aufgerufen werden. Also wird höchstens der Prozess abgebrochen.

 

Das mit dem integrierten Schutz ist doch primo; bis ein findiger Programmierer was findet, um dort vorbeizukommen oder gar an der Ecke was auszunutzen (bäh; lass Windumpf bleiben, und Formatiere lieber die Platte).

Aber Vorsicht ist immer noch die Mutter des Porzellanladens. Dazu gehört eben eine Armee (aktueller!) Hilfssprogramme wie Virenscanner & Co.; der beste Schutz ist aber immer noch: Stöpsel aus der Steckdose; Akku aus dem Schlepptop. Dann gibt's auch garantiert keine Viren & Co. .

 

Auch wenn es grundsätzlich richtig ist, unnötige Dienste nicht zu starten, hab ich selten so einen Mist gehört wie oben. Der Blaster nutzt nämlich eine Sicherheitslücke im RPC service (svchost.exe ist nur ein Hilfsprogramm für diverse services, wie eben das RPC service). RPC ist einer der wichtigsten Dienste in Windows (u.a. geht da auch die Zwischenablage drüber, aber noch viele andere interne Sachen auch). D.h.: Man kann es nicht abdrehen!
Man kann nur eines machen: Firewall, Virenscanner, regelmäßige Updates. Man kann nicht nur, man muß sogar! Alles andere ist fahrlässig!

 

Meine Frage sollte auch sein, ob ich gleich ALLE DREI svchost Dienste beenden soll und ob das wirklich gut ist.

 

Aktuelle Scanner müßten ihn erkennen.
Wenn du eine Firewall laufen hast oder du den Sicherheitspatch von MS installiert hast, dürftest du zumindest von diesem Virus verschont bleiben. Von anderen aber vielleicht nicht.

Svchost ist auch nicht der Virus, falls du das meintest. Svchost ist ein normales Winows-Programm, welches eine mögliche Sicherheitslücke im System öffnet, wenn das Programm nicht gepatched wurde. Diese Lücke nutzt der blaster-Virus aus, um sich zu verbreiten.
Svchost wird aber nur in den seltesten Fällen auch wirklich von den Anwender gebraucht. Deshalb ist es um so unverständlicher, dass es bei der Standardinstallation von WinXp ohne Nachfrage gleich installiert und automatisch gestartet wird.

 

Den Blaster hatte ich nie, denn ich habe nach dem Neueinrichten der Platte den Blaster-Patch in w2k installiert, bevor ich das erste mal online ging.

Ansonsten benutze ich ständig Brain 2004, den besten Schutz gegen Schädlinge aus dem Netz.

 

Meinst du das Ernst mit svchost?

Ich hab diese Datei einmal als System, einmal als Lokaler und noch einmal als Netzwerkdienst laufen.

Ich habe Blaster noch nicht gehabt, oder erkennt ein Virenscanner Blaser nicht?

 

Virenscanner bringen nur was, wenn das Programm vom Virenscanner auch als solcher identifiziert wird. Das bedeutet, es muß ein bekannter Virus sein. Ist er noch unbekannt oder zu wenig weit verbreitet, erkennt der Virenscanner den Virus als normales Programm an und man hat den Salat.

Desktopfirewalls bringen nix, weil sie evtl. mehr Sicherheitslücken öffnen, als sie schließen. Besser die Programme/Dienste selbst beenden, die Sicherheitslücken öffnen könnten.
Z.B. svchost bei WinXp beenden, um zu verhindern, dass man den msblast bekommt.

 

So würde ich das nicht sagen.

Wenn z.B. durch einen Doppelclick auf 'ne exe ein Virus geöffnet wird, dann macht den der Virenscanner falls Autoprotect o.ä. an ist direkt weg.
Dann macht auch der unbedachte Doppelklick keinen ernsten Schade, oder!?

 

Was nützt die beste Sicherung, wenn ein unbedachter >Doppelklick< dies zu nichte macht?

 

Man sollte jetzt aber nicht denken, dass ich sicher bin, nur weil ich nen A64 habe!

Man sollte vielmehr weiter auf seine Firewall / Router mit Firewall und Virenscanner verlassen.

Mit AMDs Schutz hat man nämlich viellleicht eine Sorte von Viren unterbunden, aber nicht alle.

 

also ich find es korrekt das AMD so was auf dem Markt bringt,
und ich habe mir letztens noch den P4 HT 3.0 gekauft..

Naja läuft aber auch *gg*
bis dann

cYpRo$

 

der BIOS-Virenalarm schreit nur wenn der BootRecord von Festplatten verändert wird. da das bei den heutigen viren quasi nicht mehr der fall ist, ist diese einstellung nicht mehr zeitgemäß. der amd-buffer-overflow-schutz ist dagegen heutzutage viel interessanter.