|
|
|
|
|
|
|
|
|
Deutsche Politik News und Infos: Nachrichten @ Deutsche-Politik-News.de !
 Weitere News: Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung
Veröffentlicht am Donnerstag, dem 26. Juli 2012 @ 12:31:33 auf Freie-PresseMitteilungen.de
(384 Leser, 0 Kommentare, 0 Bewertungen, Durchschnittsbewertung: 0,00)
|
|
Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype
Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.
"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der "Binary Formatter", der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."
Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.
Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw
Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Bildrechte: Context
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
http://www.contextis.de
Pressekontakt:
Press'n'Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype
Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.
"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der "Binary Formatter", der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."
Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.
Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw
Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Bildrechte: Context
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
http://www.contextis.de
Pressekontakt:
Press'n'Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
|
|
Artikel-Titel: Weitere News: Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung |
|
Für die Inhalte dieser Veröffentlichung ist nicht Deutsche-Politik-News.de als News-Portal sondern ausschließlich der Autor (PR-Gateway) verantwortlich (siehe AGB). Haftungsausschluss: Deutsche-Politik-News.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "Weitere News: Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung" | Anmelden oder Einloggen | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
| Diese Web-Videos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
USA: Pelosi gegen Trump-Impeachment - der ist ein A ...
 | Syrien: Hunderte IS-Kämpfer ergeben sich in Baghus
 | Australien: Kardinal Pell erhält sechs Jahre Haft w ...
 |
|
|
| Diese Fotos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Deutschland-Rosarium-Sangerhausen-2012-12 ...
 | Berliner-Gaerten-der-Welt-Marzahn-2017-16 ...
 | Deutschland-Brandenburg-Konzentrationslag ...
 | | |
|
| Diese Testberichte bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
 Doña María Mole Gewürzpaste
Diese Paste ist das Topping für ihre Enchiladas.
Und wenn sie sich beim Essen fragen, ist da etwa Schokolade drin, richtig, auch die kann man zum Würzen nehmen.
B ... (Frederik de Kulm, 24.4.2021)
Gin Bleu Royal von der Blue Pearl Distillery
Es gibt so Tage die einen so richtig runter ziehen.
An solchen Tagen sollte man sich ein edles Tröpfchen gönnen.
Ich hatte mir neulich einen Gin Bleu Royal von de ... (Raimund Falk, 24.4.2021)
Kimilho Flocao – brasilianische Maisflocken
Ich bin ja großer Fan von italienischer Küche und dazu gehört auch ab und an Polenta.
Die wird gewöhnlich aus Maisgries gemacht.
Da bekam ich den Tipp ich sollte doch ... (Mira Bellini, 25.4.2021)
Original Sachertorte
Oma hat auch manchmal eine gebacken, die war gut. Aber wer mal in Wien war und dort eine Original Sachertorte gegessen hat weiß, das alles Andere nur Nachbauten sind. Egal ob es der Scho ... (Anatol Fuhrmann, 18.4.2021)
Gunpowder Grüner Tee
Der Hausarzt sagte ich sollte mal eine Weile auf Schwarztee verzichte und dafür mal Grünen Tee trinken. Aber allein die Zubereitung ist ja eine Wissenschaft für sich. Ich vermute mal, da ... (Ulf Harris, 17.4.2021)
FFP2 Maske AUPROTEC
Leider ist ja nun so, dass wir auch dieses Jahr mit Masken herumlaufen müssen.
2020 konnte jeder noch mit einer stylischen Mund-und Nasenbedeckung auf die Straße gehen, inzwisch ... (Igor Jeftic, 11.4.2021)
Pastasauce von Newman‘s Own
Gut, frisch gemacht ist frisch gemacht.
Doch manchmal hat man einfach nicht die Zeit dazu und hat trotzdem Appetit auf Pasta.
Da bleibt einem nur der Griff zur Konser ... (Ernesto Cramm, 06.4.2021)
Jinzu Gin - japanischer Gin
Dass die Japaner eine guten Whisky bauen können hat sich ja inzwischen herum gesprochen.
Und neulich bekam ich eben mal eine Flasche japanischen Gin geschenkt.
Gin zu ... (Jerry Hofmeister, 25.3.2021)
Kimchi der Wunderkohl aus Korea
Gelesen und gehört hatte ich ja schon viel von ihm, diesen Wunderkohl aus Korea.
Und dann wurde ich mal eingeladen und durfte eine Variante vom selbst gemachten Kimchi probieren ... (Esther Gupta, 25.3.2021)
Schnittwundenset von Cosmoplast War ich neulich bei DM und wollte für meine nächste China-Reise Pflaster kaufen da sehe ich eine kleine Kunststoffbox mit der Aufschrift Schnittwundenset.
Denke was ist das denn?< ... (Petra38, 20.3.2021)
| Diese News bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Co-created: Cita Maass launcht eine Modekollektion für Mollige und Plus Size Frauen (PR-Gateway, 30.04.2024)
Influencerin und Unternehmerin Cita Maass hat eine co-created Curvy Kollektion an den Start gebracht. Ihr Kooperationspartner lanciert damit erstmals eine reine Große Größen Kollektion und plant sein Portfolio im Plus Size Segment noch weiter auszubauen.
PlusPerfekt: Es tut sich was in Sachen Große Größen
Es wurde höchste Zeit, dass sich im Große Größen Segment wieder mal etwas tut. Cita Maa ...
Sport Trend: Fusion von Yoga und Golf im Heitlinger Golf Resort (PR-Gateway, 29.04.2024)
Das Heitlinger Golf Resort bietet Mitgliedern ab sofort ein integriertes Yoga und Golf Programm an. Kate Floss hat das Konzept entwickelt - sie ist Yoga Instructor und Golf Pro auf der wunderschönen Anlage inmitten der Kraichgauer Weinberge. Für Mitglieder kostet eine Stunde des Programms zehn Euro.
"Die Yoga und Golf Stunden sind wie ein kurzer Urlaub", beschreibt Kate Floss. "D ...
Perspektivwechsel in 5 Minuten! (PR-Gateway, 29.04.2024)
Dino Arouna, erfolgreich beim 17. internationalen SPEAKER SLAM
Beim internationalen Speaker Slam, der am 25.April 2024 in Mastershausen stattfand, hat Dino Arouna einen beachtlichen Erfolg erzielt. Nach New York, Wien, Frankfurt, Hamburg, Stuttgart, Wiesbaden und München fand der internationale Speaker Slam nun in Mastershausen statt. Mit 104 Teilnehmern aus 5 Nationen wurde damit ein neuer Weltrekord aufgestellt.
Der Speaker Slam ist ein Rednerwettstreit. So wie be ...
DIE GROSSE GUSTAVO GUSTO EM-PIZZA-WETTE (PR-Gateway, 29.04.2024)
DEUTSCHLAND KOMMT MINDESTENS INS ACHTELFINALE... ODER DEINE PIZZA GEHT AUF UNS
DIE GROSSE GUSTAVO GUSTO EM-WETTE:
"DEUTSCHLAND KOMMT MINDESTENS INS ACHTELFINALE... ODER DEINE PIZZA GEHT AUF UNS!"
Geretsried, 29. April 2024 - Der Countdown läuft. Der Druck steigt. Schließlich soll die deutsche Nationalmannschaft bei der EM 2024 "Dahoam" nicht wie in den letzten Turnieren in der Vorrunde oder dem Achtelfinale ausscheiden.
Gustavo Gusto ist ...
\'\'In Full Color\'\': Keter präsentiert neue Premium-Designlinie und Trendstudie auf der spoga+gafa 2024 (PR-Gateway, 29.04.2024)
16.-18.06.2024 // Messegelände Köln // Halle 9.01, Stand C021
Wolframs-Eschenbach, 29.04 2024 - Keter ( www.keter.de) kehrt nach mehreren Jahren Abstinenz auf die Gartenmessebühne zurück: Der weltweit führende Hersteller von Lifestyle-Kunststoffprodukten für Haus und Garten präsentiert sich in diesem Jahr wieder mit einem großen Messestand auf der spoga+gafa 2024 in Köln. Im Mittelpunkt stehen dabei nicht nur neue und qualitativ hochwerti ...
Zukunftssicherheit mit PV-Anlagen von Bussemas & Pollmeier (PR-Gateway, 29.04.2024)
Die Nutzung von Photovoltaikanlagen zur Erzeugung von sauberer Energie gewinnt weltweit an Bedeutung! Da sich immer mehr Menschen für nachhaltige Energielösungen entscheiden, um ihren ökologischen Fußabdruck zu verringern und Energiekosten zu senken. In diesem Zusammenhang freut sich Bussemas & Pollmeier, eine individuelle Lösung für hochwertige PV-Anlagen anzubie ...
Der OSMIUM-BIGBANG beginnt (PR-Gateway, 29.04.2024)
Mit dem 31.12.2026 endet die Kristallisation von Osmium, dem seltensten Edelmetall der Welt. Damit sind die Mengen, die noch Eintritt in den Sachinvestorenmarkt finden werden, international begrenzt und können klar quantifiziert werden. Die beiden magischen Zahlen sind 300 kg und eine Milliarde Euro.
In Murnau wird zeitgleich der neue Flagshipstore mit Zertifizierungslabor eröffnet. Es entstehen bis zu 20 Arbeitsplätze vor Ort und ein wichtiger Wirtschaftszweig wir ...
Ardex stellt zwei neue Wandspachtelmassen vor (PR-Gateway, 29.04.2024)
ARDEX A 929 und ARDEX A 800 READY
Witten, 29. April 2024. Ideal für Bäder und andere Nassräume: Ardex hat einen neuen mineralischen Feinspachtel für Innenräume mit hoher Luftfeuchtigkeit entwickelt. Durch seine lange offene Zeit kann ARDEX A 929 gut maschinell verarbeitet werden. Der Bauchemiehersteller hat "den Neuen" zusammen mit dem gebrauchsfertigen mineralischen Flächenspachtel A 800 READY erstmalig auf der Fachmesse FAF in Köln präsentiert.
Mit seinen minerali ...
Carolinen: Marktführer in OWL drückt Startknopf für neue Flaschen und Kästen (PR-Gateway, 29.04.2024)
-Neue Carolinen Glasmehrwegflaschen und Kästen sind Teil der neuen Markenstrategie
-Nachhaltig und regional: Neue Flaschen und Kästen sparen 10 Prozent CO2 ein und stammen aus NRW
-ab 1. Mai im Handel
Bielefeld, 29. April 2024. Das Bielefelder Traditionsunternehmen Carolinen Brunnen hat heute einen zentralen Baustein seiner neuen Markenstrategie präsentiert. Nach dem gemeinsamen Druck auf den Startknopf liefen die ersten Exemplare der ab 1. Mai i ...
Initiative Cloud Services Made in Germany Schriftenreihe: Ausgabe April 2024 verfügbar (PR-Gateway, 29.04.2024)
Die Initiative Cloud Services Made in Germany hat die neue Ausgabe ihrer Schriftenreihe - Stand April 2024 - veröffentlicht. Band 1 der Reihe trägt den Titel "Initiative Cloud Services Made in Germany im Gespräch" und enthält eine Sammlung von mittlerweile mehr als 100 Interviews mit Vertretern von an der Initiative beteiligten deutschen Cloud Computing-Anbietern zum Thema Cloud Computing im Allgemeinen und Cloud Computing in Deutschland im Speziellen. Band 2 mit dem Titel "Cloud S ...
| Werbung bei Deutsche-Politik-News.de: |
| Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung |
|
|
Möglichkeiten
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Deutsche-Politik-News.de Spende
|
|
|
Online Werbung
|
|
|
Online Werbung
|
|
|
D-P-N News Empfehlungen
|
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
Online Werbung
|
|
|
|
Bundestag
