Menü

Streit um virtuelle Sicherheitslücken

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 46 Beiträge
Von

Die Schwachstellentester von Core Security haben jetzt nach über einem halben Jahr Diskussionen mit Microsoft ein Problem in Virtual PC veröffentlicht. Sie selbst bezeichnen es als Sicherheitslücke, Microsoft legt Wert darauf, dass es eben "keine Schwachstelle per se" sei.

Tatsache ist, dass sich der beschriebene Fehler nicht direkt ausnutzen lässt. Wie sich beide Parteien einig sind, setzt der für die Verwaltung der virtuellen Systeme verantwortliche Hypervisor die Zugriffsrechte für Speicherbereiche jenseits von 2 GByte zu freizügig. Das macht es möglich, zum Beispiel Sicherheitsmechanismen wie Data Execution Prevention (DEP) leicht auszutricksen. Startet ein Anwender etwa im XP-Mode von Windows 7, der via Virtual PC realisiert ist, eine Anwendung mit einer Sicherheitslücke, kann diese auch dann ausgenutzt werden, wenn er auf einem realen XP-System durch DEP geschützt wäre.

Da dies nach Microsofts Ansicht keine echte Sicherheitslücke ist, wird es auch keinen Patch geben; immerhin will man das Problem in einer der nächsten Versionen beseitigen. Die Server-Virtualisierungs-Lösung Hyper-V ist im Übrigen nicht betroffen.

Siehe dazu auch:

(ju)