|
|
|
|
|
|
|
|
|
Deutsche Politik News und Infos: Nachrichten @ Deutsche-Politik-News.de !
 Weitere News: Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung
Veröffentlicht am Donnerstag, dem 26. Juli 2012 @ 12:31:33 auf Freie-PresseMitteilungen.de
(362 Leser, 0 Kommentare, 0 Bewertungen, Durchschnittsbewertung: 0,00)
|
|
Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype
Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.
"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der "Binary Formatter", der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."
Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.
Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw
Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Bildrechte: Context
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
http://www.contextis.de
Pressekontakt:
Press'n'Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype
Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.
"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der "Binary Formatter", der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."
Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.
Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw
Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Bildrechte: Context
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
http://www.contextis.de
Pressekontakt:
Press'n'Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
|
|
Artikel-Titel: Weitere News: Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung |
|
Für die Inhalte dieser Veröffentlichung ist nicht Deutsche-Politik-News.de als News-Portal sondern ausschließlich der Autor (PR-Gateway) verantwortlich (siehe AGB). Haftungsausschluss: Deutsche-Politik-News.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
| "Weitere News: Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung" | Anmelden oder Einloggen | 0 Kommentare |
|
| | Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
| Diese Web-Videos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
Türkei: Truppen-Verlegung in Richtung Syrien begonn ...
 | Türkei: Österreichischer Journalist Zirngast aus de ...
 | Vatikan: Papst Franziskus kritisiert menschliche Gi ...
 |
|
|
| Diese Fotos bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
56-Biennale-Venedig-2015-150729-DSC_0272. ...
 | Berlin-Currywurst-Museum-2017-170120-DSC_ ...
 | Hamburg-Chilehaus-2016-160710-DSC_8579.jp ...
 | | |
|
| Diese Testberichte bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
 Doña María Mole Gewürzpaste
Diese Paste ist das Topping für ihre Enchiladas.
Und wenn sie sich beim Essen fragen, ist da etwa Schokolade drin, richtig, auch die kann man zum Würzen nehmen.
B ... (Frederik de Kulm, 24.4.2021)
Gin Bleu Royal von der Blue Pearl Distillery
Es gibt so Tage die einen so richtig runter ziehen.
An solchen Tagen sollte man sich ein edles Tröpfchen gönnen.
Ich hatte mir neulich einen Gin Bleu Royal von de ... (Raimund Falk, 24.4.2021)
Kimilho Flocao – brasilianische Maisflocken
Ich bin ja großer Fan von italienischer Küche und dazu gehört auch ab und an Polenta.
Die wird gewöhnlich aus Maisgries gemacht.
Da bekam ich den Tipp ich sollte doch ... (Mira Bellini, 25.4.2021)
Original Sachertorte
Oma hat auch manchmal eine gebacken, die war gut. Aber wer mal in Wien war und dort eine Original Sachertorte gegessen hat weiß, das alles Andere nur Nachbauten sind. Egal ob es der Scho ... (Anatol Fuhrmann, 18.4.2021)
Gunpowder Grüner Tee
Der Hausarzt sagte ich sollte mal eine Weile auf Schwarztee verzichte und dafür mal Grünen Tee trinken. Aber allein die Zubereitung ist ja eine Wissenschaft für sich. Ich vermute mal, da ... (Ulf Harris, 17.4.2021)
FFP2 Maske AUPROTEC
Leider ist ja nun so, dass wir auch dieses Jahr mit Masken herumlaufen müssen.
2020 konnte jeder noch mit einer stylischen Mund-und Nasenbedeckung auf die Straße gehen, inzwisch ... (Igor Jeftic, 11.4.2021)
Pastasauce von Newman‘s Own
Gut, frisch gemacht ist frisch gemacht.
Doch manchmal hat man einfach nicht die Zeit dazu und hat trotzdem Appetit auf Pasta.
Da bleibt einem nur der Griff zur Konser ... (Ernesto Cramm, 06.4.2021)
Jinzu Gin - japanischer Gin
Dass die Japaner eine guten Whisky bauen können hat sich ja inzwischen herum gesprochen.
Und neulich bekam ich eben mal eine Flasche japanischen Gin geschenkt.
Gin zu ... (Jerry Hofmeister, 25.3.2021)
Kimchi der Wunderkohl aus Korea
Gelesen und gehört hatte ich ja schon viel von ihm, diesen Wunderkohl aus Korea.
Und dann wurde ich mal eingeladen und durfte eine Variante vom selbst gemachten Kimchi probieren ... (Esther Gupta, 25.3.2021)
Schnittwundenset von Cosmoplast War ich neulich bei DM und wollte für meine nächste China-Reise Pflaster kaufen da sehe ich eine kleine Kunststoffbox mit der Aufschrift Schnittwundenset.
Denke was ist das denn?< ... (Petra38, 20.3.2021)
| Diese News bei Deutsche-Politik-News.de könnten Sie auch interessieren: |
heim-baustoffe.de erhält Auszeichnung \'\'Top Shop Professional 2024\'\' (PR-Gateway, 16.04.2024)
Im Branchenvergleich von Computer BILD und Statista
Das Fachmagazin Computer BILD und das unabhängige Marktforschungsunternehmen Statista haben die besten deutschen B2B-Shops 2024 ermittelt. In der Kategorie "Bau-, Handwerks- & Industriebedarf" überzeugte die Heim Baustoffe GmbH und erhielt für ihren Onlineshop heim-baustoffe.de das Siegel Top Shop Professional 2024.
Heim Baustoffe blickt auf mehr als 20 Jahre Erfahrung im B2C- und B2B-Ecommerce ...
FIBO Congress - Top-Themen von Top-Speakern (PR-Gateway, 16.04.2024)
Know-how und Networking vom Feinsten
Spannende Vorträge von renommierten Referierenden, wertvolle Tipps für die tägliche Praxis in Fitness- und Gesundheitsanlagen, anregende Gespräche mit anderen Branchenangehörigen - auf dem FIBO Congress vom 11. bis 13. April 2024 wurde dem Fachpublikum all das geboten. Schwer begeistert, höchstmotiviert und vor allem sehr zufrieden zeigten sich alle Beteiligten am Ende des letzten Kongresstages.
Die Teilnehmenden des diesjährigen ...
Unternehmen der Kunststoffindustrie setzen zum Stromsparen zunehmend auf elektrische Effizienzfilter (PR-Gateway, 16.04.2024)
16 Branchenplayer sparen 2.758.512 kWh Strom und 1.278 Tonnen CO2
Berghaupten/Grenchen (DE/CH), 16.04.2024 - Diese Zahlen können sich sehen lassen: 2.758.512 kWh Strom und 1.278 Tonnen CO2-Emissionen sparten im vergangenen Jahr sechszehn Unternehmen der deutschen Kunststoffindustrie gemeinsam ein. Sie alle haben dafür den elektrischen Effizienzfilter der LIVARSA AG ( www.livarsa.com) eingeführt, der eine Verbesserung der Energieübertra ...
sportspaß: Wo Kinder in Hamburg günstig Sport treiben können (PR-Gateway, 16.04.2024)
Sinnvolle Freizeitgestaltung - Spaß und Fitness - Zahlreiche Kurse speziell für Kinder
Hamburg, 16. April 2024. Für nur 8,50 Euro pro Monat können Kinder die Angebote und Kurse bei sportspaß nutzen, Hamburgs größtem Freizeit- und Breitensportverein. Ob Fußball oder Hip-Hop, Kindertanz oder Yoga, die Angebote von sportspaß - speziell für Kinder - sind vielfältig. "Kinder, die regelmäßig Sport treiben, profitieren in vielerlei Hinsicht. Neben der körperlichen Fitness fördert Sport auch ...
Wer weniger Industrie riskiert, riskiert ein armes Land (PR-Gateway, 16.04.2024)
- Von Erholung weit entfernt: 6,8 Prozent Produktionsminus gegenüber 2023
- Wenn die Industrie abwandert, gehen Arbeitsplätze und Wohlstand mit
- Unternehmen sind Macher - Macher brauchen Bewegungsspielraum
Düsseldorf/Hagen, 16. April 2024. Vier Prozent mehr Produktion als im Vormonat, aber 6,8 Prozent weniger als im Vorjahresmonat. Mit großem Unverständnis reagiert der Wirtschaftsverband Stahl- und Metallverarbeitung (WSM) auf Stimmen, die angesichts der Februarzahlen von E ...
Tierheim Tierfutter liefert 1.320 kg kostenloses Futter (PR-Gateway, 16.04.2024)
Das ist Wahnsinnig schön. Die Hundehilfe Deutschland e.V. freut sich über die Lieferung von 1.320 kg kostenloses Futter von der Firma Tierheim Tierfutter.
Tierheim Tierfutter Stefan Haid liefert an das Tierheim Tierschutzverein Hundehilfe Deutschland e.V. 1.320 kg mit kostenlosem Hunde Trockenfutter.
Das sind ganze 2 Paletten.
Weitere Auslieferungen und Infos erhalten Sie unter:
Tierheim T ...
Triggi Einkaufswagenlöser als Werbeartikel - Innovativ (PR-Gateway, 16.04.2024)
Der Triggi Einkaufswagenlöser als Werbeartikel und Werbegeschenk - löst Einkaufswagen in Sekunden.
Das innovative Unternehmen Taku Trends hat den Triggi Einkaufswagenlöser neu im Sortiment. Mit seiner robusten Konstruktion und seiner Vielseitigkeit revolutioniert dieser Artikel den Markt für Werbeartikel Einkaufswagenlöser. Ein nachhaltiger Werbeträger aus Stahl. Ausgestattet mit einer exklusiven Werbefläche.
ERP der Zukunft für die Fabrik der Zukunft (PR-Gateway, 16.04.2024)
Asseco Solutions auf der Intertool 2024
Karlsruhe, 16.04.2024 - Nach wie vor sind es die großen Ziele der Industrie - die Digitalisierung und die Automatisierung der Werkshalle -, die die Verantwortlichen in der Branche umtreiben. Dass sie den Schlüssel zu einer zukunfts- und wettbewerbsfähigen Produktion darstellen, daran bestehen kaum Zweifel. Doch wie lassen sie sich ganz konkret in der Praxis realisieren? Diese Frage steht im Zentrum der diesjährigen Intertool, Österreichs größter ...
Relaunch der Zeitschriftenportale zu einer modernen Online-Plattform bei Spitta (PR-Gateway, 16.04.2024)
Die Spitta GmbH hat Ihre Zeitschriftenportale zmk-aktuell.de, ztm-aktuell.de, pnc-aktuell.de und dimagazin-aktuell.de zu einer modernen Online-Plattform zusammengeführt - der neuen spitta dentalwelt. www.dentalwelt.spitta.de
Mit der Bündelung der Inhalte und Zielgruppen reagiert Spitta auf die Komplexität der immer stärker vernetzten Themen und schafft ein zentrales Informationsportal für die gesamte Dentalbranche.
Dentalnews und -wissen für alle Zielgruppen an eine ...
Innentüren auf Expertenniveau bei Fretthold (PR-Gateway, 16.04.2024)
Fretthold, ein führender Anbieter von hochwertigen Innentüren, hat sich zum Ziel gesetzt, die Art und Weise zu revolutionieren, wie Kunden ihre perfekten Innentüren auswählen. Mit einer neuen Fachberatungsoption, der Möglichkeit, Beratungstermine online zu buchen und einem beeindruckenden eigenen Showroom bietet das Unternehmen seinen Kunden ein unvergleichliches Erlebnis.
Die Fachberatung von Fretthold setz ...
| Werbung bei Deutsche-Politik-News.de: |
| Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung |
|
|
Möglichkeiten
|
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0
Stimmen: 0
|
|
Deutsche-Politik-News.de Spende
|
|
|
Online Werbung
|
|
|
Online Werbung
|
|
|
D-P-N News Empfehlungen
|
|
|
Online Werbung
|
|
|
Möglichkeiten
|
|
|
Online Werbung
|
|
|
|
Bundestag
