{"id":6997,"date":"2012-09-19T14:51:09","date_gmt":"2012-09-19T12:51:09","guid":{"rendered":"http:\/\/tuxproject.de\/blog\/?p=6997"},"modified":"2012-09-19T14:54:02","modified_gmt":"2012-09-19T12:54:02","slug":"windowsanwendungen-abschotten-mit-emet","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2012\/09\/windowsanwendungen-abschotten-mit-emet\/","title":{"rendered":"Win\u00addows\u00adan\u00adwen\u00addun\u00adgen abschot\u00adten mit EMET"},"content":{"rendered":"

(Vor\u00adbe\u00admer\u00adkung: Es folgt ein lang\u00adwei\u00adli\u00adger Bei\u00adtrag \u00fcber Sicher\u00adheits\u00advor\u00adkeh\u00adrun\u00adgen von Micro\u00adsoft Win\u00addows. Bei Des\u00adin\u00adter\u00ades\u00adse an die\u00adsem The\u00adma ist sanf\u00adtes Igno\u00adrie\u00adren die emp\u00adfoh\u00adle\u00adne Vor\u00adge\u00adhens\u00adwei\u00adse.)<\/em><\/p>\n

Das Gejam\u00admer ist mal wie\u00adder gro\u00df:<\/a><\/p>\n

Das Bun\u00addes\u00adamt f\u00fcr Sicher\u00adheit in der Infor\u00adma\u00adti\u00adons\u00adtech\u00adnik (BSI) hat eine aktu\u00adel\u00adle Sicher\u00adheits\u00adwar\u00adnung f\u00fcr den Inter\u00adnet Explo\u00adrer von Micro\u00adsoft her\u00adaus\u00adge\u00adge\u00adgen. Das Amt weist Inter\u00adnet\u00adnut\u00adzer auf eine bis\u00adher unbe\u00adkann\u00adte, kri\u00adti\u00adsche Schwach\u00adstel\u00adle in dem Inter\u00adnet-Zugangs\u00adpro\u00adgramm hin.<\/p><\/blockquote>\n

(Wie man auf etwas hin\u00adwei\u00adsen kann, was \u201eunbe\u00adkannt\u201c ist, erschlie\u00dft sich mir nicht.) <\/p>\n

Die L\u00f6sung?<\/p>\n

Ein Sicher\u00adheits\u00adup\u00addate des Her\u00adstel\u00adlers ist der\u00adzeit nicht ver\u00adf\u00fcg\u00adbar. Daher emp\u00adfiehlt das BSI allen Nut\u00adzern des Inter\u00adnet Explo\u00adrers, so lan\u00adge einen alter\u00adna\u00adti\u00adven Brow\u00adser f\u00fcr die Inter\u00adnet\u00adnut\u00adzung zu ver\u00adwen\u00adden, bis der Her\u00adstel\u00adler ein Sicher\u00adheits\u00adup\u00addate zur Ver\u00adf\u00fc\u00adgung gestellt hat.<\/p><\/blockquote>\n

Tja, geht halt nicht.<\/p>\n

Vie\u00adle Win\u00addows\u00adan\u00adwen\u00addun\u00adgen, dar\u00adun\u00adter eini\u00adge RSS-Leser und sogar Datei\u00adma\u00adna\u00adger wie (der anson\u00adsten sehr gute) xplo\u00adrer\u00b2<\/a>, set\u00adzen intern auf die Inter\u00adnet-Explo\u00adrer-engi\u00adne<\/em> Trident zum Anzei\u00adgen eini\u00adger Inhal\u00adte, ver\u00adwen\u00adden also \u201eden Inter\u00adnet Explo\u00adrer\u201c. Die betref\u00adfen\u00adde Sicher\u00adheits\u00adl\u00fccke ist also auch mit einem alter\u00adna\u00adti\u00adven Brow\u00adser nicht zu behe\u00adben.<\/p>\n

Es gibt Not\u00adl\u00f6\u00adsun\u00adgen wie das Mozil\u00adla Activ\u00adeX Con\u00adtrol<\/a> nebst pas\u00adsen\u00addem \u201ePatcher\u201c (unten auf der Sei\u00adte); jedoch ist der Mehr\u00adwert in Zwei\u00adfel zu zie\u00adhen: Zum Einen ist nicht gew\u00e4hr\u00adlei\u00adstet, dass die betref\u00adfen\u00adde Anwen\u00addung nach dem Ein\u00adspie\u00adlen des Mozil\u00adla-con\u00adtrols<\/em> noch pro\u00adblem\u00adlos funk\u00adtio\u00adniert, zum Ande\u00adren muss fest\u00adge\u00adhal\u00adten wer\u00adden:<\/p>\n

Es gibt kei\u00adnen siche\u00adren Brow\u00adser.<\/b><\/p>\n

Was heu\u00adte den Inter\u00adnet Explo\u00adrer bef\u00e4llt, kann mor\u00adgen auch Fire\u00adfox, Ope\u00adra oder den Goog\u00adle-M\u00fcll befal\u00adlen. Die Liste von bekann\u00adten exploits<\/em> (also Code zum Aus\u00adnut\u00adzen der Schwach\u00adstel\u00adlen) w\u00e4chst st\u00e4n\u00addig, gele\u00adgent\u00adlich sind auch ver\u00adschie\u00adde\u00adne Web\u00adbrow\u00adser betrof\u00adfen. Win\u00addows selbst besitzt diver\u00adse ein\u00adge\u00adbau\u00adte Tech\u00adni\u00adken, um sol\u00adche exploits<\/em> zu behin\u00addern, etwa ASLR (Address Space Lay\u00adout Ran\u00addo\u00admizati\u00adon, also Adress\u00adver\u00adw\u00fcr\u00adfe\u00adlung<\/a>), DEP (Data Exe\u00adcu\u00adti\u00adon Pre\u00adven\u00adti\u00adon, also \u2013 bl\u00f6\u00adder Name \u2013 Daten\u00adaus\u00adf\u00fch\u00adrungs\u00adver\u00adhin\u00adde\u00adrung<\/a>), SEHOP, EAF und noch eini\u00adge lusti\u00adge Abk\u00fcr\u00adzun\u00adgen, jedoch m\u00fcs\u00adsen die\u00adse struk\u00adtur\u00adbe\u00addingt sepa\u00adrat f\u00fcr jede Anwen\u00addung akti\u00adviert wer\u00adden, sofern sie im System nicht glo\u00adbal vor\u00adge\u00adge\u00adben sind.<\/p>\n

Zum Gl\u00fcck gibt es EMET<\/a>.<\/p>\n

EMET ist ein Micro\u00adsoft\u00adpro\u00adgramm, das erw\u00e4hn\u00adte Sicher\u00adheits\u00adma\u00df\u00adnah\u00admen f\u00fcr jede Anwen\u00addung sepa\u00adrat \u201escharf schal\u00adten\u201c kann, im Fal\u00adle von SEHOP, ASLR und DEP sogar system\u00adweit. Das sieht unge\u00adf\u00e4hr so aus:<\/p>\n

<\/a><\/p>\n

Oben im Fen\u00adster ist zu sehen, dass DEP und SEHOP noch optio\u00adnal sind. Es ist m\u00f6g\u00adlich, \u00fcber die Schalt\u00adfl\u00e4\u00adche \u201eCon\u00adfi\u00adgu\u00adre System\u201c bei\u00adde Tech\u00adni\u00adken glo\u00adbal zu akti\u00advie\u00adren. Dies k\u00f6nn\u00adte aller\u00addings zu Pro\u00adble\u00admen mit eini\u00adgen Anwen\u00addun\u00adgen f\u00fch\u00adren, die sich ein\u00adzeln aus\u00adneh\u00admen las\u00adsen; da dies aber oft viel Auf\u00adwand w\u00e4re, emp\u00adfeh\u00adle ich, sich im Fol\u00adgen\u00adden auf Pro\u00adgram\u00adme zu beschr\u00e4n\u00adken, die die h\u00e4u\u00adfig\u00adsten Ein\u00adfalls\u00adto\u00adre f\u00fcr Schad\u00adpro\u00adgram\u00adme dar\u00adstel\u00adlen, n\u00e4m\u00adlich Mail\u00adpro\u00adgram\u00adme und Web\u00adbrow\u00adser.<\/p>\n

Da DEP (drit\u00adte Spal\u00adte) von vie\u00adlen Pro\u00adgram\u00admen bereits stan\u00addard\u00adm\u00e4\u00ad\u00dfig unter\u00adst\u00fctzt wird, ist die ent\u00adspre\u00adchen\u00adde Spal\u00adte bereits gut bef\u00fcllt. Ich habe beschlos\u00adsen, dass mein Thun\u00adder\u00adbird best\u00adm\u00f6g\u00adlich gesi\u00adchert wird. Hier\u00adf\u00fcr sind \u00fcber die Schalt\u00adfl\u00e4\u00adche \u201eCon\u00adfi\u00adgu\u00adre Apps\u201c \u00fcber \u201eAdd\u201c die aus\u00adf\u00fchr\u00adba\u00adre Datei thunderbird.exe<\/em> aus\u00adzu\u00adw\u00e4h\u00adlen \u2013 wohl dem, der sich merkt, wo er sei\u00adne Pro\u00adgram\u00adme hin\u00adin\u00adstal\u00adliert \u2013 und die gew\u00fcnsch\u00adten H\u00e4k\u00adchen zu set\u00adzen:<\/p>\n

<\/a><\/p>\n

Dies ist ana\u00adlog bei allen wei\u00adte\u00adren gew\u00fcnsch\u00adten Anwen\u00addun\u00adgen (RSS-Leser, Soli\u00adt\u00e4r, \u2026) durch\u00adzu\u00adf\u00fch\u00adren. Emp\u00adfeh\u00adlens\u00adwert scheint es zu sein, die Aus\u00adwahl auf ein Mini\u00admum zu redu\u00adzie\u00adren. Nach erfolg\u00adter Anpas\u00adsung m\u00fcs\u00adsen die betrof\u00adfe\u00adnen Anwen\u00addun\u00adgen neu gestar\u00adtet wer\u00adden; fort\u00adan wacht EMET (unter ande\u00adrem mit einem W\u00e4ch\u00adter\u00adpro\u00adgramm im Benach\u00adrich\u00adti\u00adgungs\u00adfeld) \u00fcber sie.<\/p>\n

Man las\u00adse den\u00adnoch Vor\u00adsicht wal\u00adten: Prak\u00adtisch jede Sicher\u00adheits\u00adma\u00df\u00adnah\u00adme l\u00e4sst sich irgend\u00adwie umge\u00adhen<\/a>. Der Ein\u00adsatz s\u00e4mt\u00adli\u00adcher Schil\u00adde des Systems erh\u00f6ht den n\u00f6ti\u00adgen Auf\u00adwand jedoch bei\u00adzei\u00adten betr\u00e4cht\u00adlich.<\/p>\n

Beschrie\u00adbe\u00adnes gilt \u00fcbri\u00adgens nicht nur f\u00fcr Win\u00addows: DEP etwa (als Pro\u00adzes\u00adsor\u00adfunk\u00adti\u00adon) ist auch unter ande\u00adren Betriebs\u00adsy\u00adste\u00admen bekannt. Ein Betriebs\u00adsy\u00adstem ist aller\u00addings stets nur so sicher wie das Sicher\u00adheits\u00adkon\u00adzept sei\u00adnes Anwen\u00adders, sei\u00adne Inte\u00adgri\u00adt\u00e4t steht und f\u00e4llt mit dem Sach\u00adver\u00adstand des\u00adsen, der es bedient. Anstel\u00adle jedoch auf Schlan\u00adgen\u00ad\u00f6l wie per\u00adso\u00adnal fire\u00adwalls<\/em> zu ver\u00adtrau\u00aden, soll\u00adten sich Win\u00addows\u00adnut\u00adzer bes\u00adser mit den Schutz\u00adfunk\u00adtio\u00adnen ihres Systems ver\u00adtraut machen. Der ein\u00adma\u00adli\u00adge Auf\u00adwand kann sp\u00e4\u00adter Frust und Unsi\u00adcher\u00adheit erspa\u00adren.<\/p>\n","protected":false},"excerpt":{"rendered":"

(Vor\u00adbe\u00admer\u00adkung: Es folgt ein lang\u00adwei\u00adli\u00adger Bei\u00adtrag \u00fcber Sicher\u00adheits\u00advor\u00adkeh\u00adrun\u00adgen von Micro\u00adsoft Win\u00addows. Bei Des\u00adin\u00adter\u00ades\u00adse an die\u00adsem The\u00adma ist sanf\u00adtes Igno\u00adrie\u00adren die emp\u00adfoh\u00adle\u00adne Vor\u00adge\u00adhens\u00adwei\u00adse.) Das Gejam\u00admer ist mal wie\u00adder gro\u00df: Das Bun\u00addes\u00adamt f\u00fcr Sicher\u00adheit in der Infor\u00adma\u00adti\u00adons\u00adtech\u00adnik (BSI) hat eine aktu\u00adel\u00adle Sicher\u00adheits\u00adwar\u00adnung f\u00fcr den Inter\u00adnet Explo\u00adrer von Micro\u00adsoft her\u00adaus\u00adge\u00adge\u00adgen. Das Amt weist Inter\u00adnet\u00adnut\u00adzer auf eine bis\u00adher unbe\u00adkann\u00adte, \u2026<\/p>\n

\u2018Win\u00addows\u00adan\u00adwen\u00addun\u00adgen abschot\u00adten mit EMET\u2019 wei\u00adter\u00adle\u00adsen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":3,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[19],"tags":[],"series":[],"class_list":["post-6997","post","type-post","status-publish","format-standard","hentry","category-nerdkrams"],"share_on_mastodon":{"url":"","error":""},"wp-worthy-pixel":{"ignored":false,"public":null,"server":null,"url":null},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/6997","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=6997"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/6997\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=6997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=6997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=6997"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=6997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}