Schuetzt SAFER vor aktueller IE-Luecke?

18/09/2012 - 21:42 von Christoph Schneegans | Report spam
Hallo allerseits!

Ich weiß, wie man sich angesichts der aktuellen IE-Lücke, die in
<http://technet.microsoft.com/en-us/...757760>
beschrieben wird, schützen kann: anderer Browser, EMET, IE-
Sicherheitseinstellungen auf "Hoch", am besten alles zusammen.

Anderen Anwendern kann ich das am Telefon aber nur schlecht
erklàren. Auf den fraglichen Rechnern ist jedoch *_SAFER.INF
eingerichtet. Laut
<http://eromang.zataz.com/2012/09/16...r-yet/>
wird ja offenbar eine ausführbare Datei ("111.exe") heruntergeladen.
Kann man mit hinreichender Sicherheit davon ausgehen, daß SAFER die
Ausführung des Schadcodes verhindert?

<http://schneegans.de/computer/safer/> · SAFER mit Windows
 

Lesen sie die antworten

#1 Stefan Kanthak
19/09/2012 - 00:47 | Warnen spam
"Christoph Schneegans" schrieb:

Hallo allerseits!

Ich weiß, wie man sich angesichts der aktuellen IE-Lücke, die in
<http://technet.microsoft.com/en-us/...757760>
beschrieben wird, schützen kann: anderer Browser, EMET, IE-
Sicherheitseinstellungen auf "Hoch", am besten alles zusammen.

Anderen Anwendern kann ich das am Telefon aber nur schlecht
erklàren. Auf den fraglichen Rechnern ist jedoch *_SAFER.INF
eingerichtet. Laut
<http://eromang.zataz.com/2012/09/16...r-yet/>
wird ja offenbar eine ausführbare Datei ("111.exe") heruntergeladen.
Kann man mit hinreichender Sicherheit davon ausgehen, daß SAFER die
Ausführung des Schadcodes verhindert?



Solange die heruntergeladene Datei per LoadLibrary() geladen werden
soll oder per CreateProcess()/ShellExecute() ausgefuehrt werden soll
und eine SAFER als ausfuehrbar bekannte Endung hat und der (nur fuer
Windows 7 verfuegbare) Hotfix 2532445 installiert ist: definitiv ja.

Auf XP und Vista sowie 7 ohne 2532445 koennte SAFER durch die in
<http://support.microsoft.com/kb/2532445> genannten Flags umgangen
werden.

Unabhaengig von SAFER kann Ausfuehren heruntergeladener Dateien
(insbesonders im Browser-Cache) durch Setzen einer nur auf Dateien
vererbaren ACL, die Ausfuehren verbietet, verhindert werden.

Siehe <http://home.arcor.de/skanthak/download/~EXECUTE.INF>.

VORSICHT: das im Skript verwendete ICACLS.EXE ist kaputt und wendet
vererbbare ACLs aus dem uebergeordneten Verzeichnis auch dann an, wenn
die Vererbung fuer's aktuelle Verzeichnis ausgeschaltet ist.

Stefan
[
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

Ähnliche fragen