Paarse pil knoeit met Vista-kern

Tool lift mee met grafische driver

13 augustus 2007 | Janneke Scheepers

De zogenaamde Purple Pill heeft de gemoederen in beveiligings- en hackerkringen vorige week danig beziggehouden. Deze tool maakt het mogelijk om malware voorbij de nieuwe anti-rootkit/anti-DRM-verdediging in de 64 bit Vista-kern te smokkelen.

De 'paarse pil' maakt gebruik van een kwetsbaarheid in een grafische driver van ATI. Ontwikkelaar Alex Ionescu gaf de proof of concept-tool, gemaakt om te bewijzen dat misbruik mogelijk is, eind vorige week vrij. Hij verkeerde in de veronderstelling dat het lek in de driver al was gedicht. Vista-kernel- beveiligingsexpert Joanna Rutkowska had er begin deze maand immers op gewezen in een presentatie tijdens de Black Hat-conferentie.

Toen Ionescu merkte dat het lek nog open was, trok hij zijn tool na ruim een uur weer terug. In die tijd is de software 39 keer gedownload, schrijft Ryan Naraine op zijn blog op ZDNet.com. Onder meer medewerkers van Symantec hebben de tool afgehaald. Zij wezen ATI's driver als schuldige aan. Symantec heeft Purple Pill aangemerkt als hackingtool en stuurde een definitie-update voor zijn anti-malwareproducten uit.

Purple Pill maakt het mogelijk om ongecertificeerde, mogelijk kwaadaardige drivers binnen Vista te laden. De tool lift mee op een beveiligingscertificaat voor ATI's hardwaredriver, die is geïnstalleerd in vijftig procent van de laptops. Hij ontduikt de anti-rootkit/anti-DRM-verdediging, door bepaalde controles voor gecertificeerde drivers uit te schakelen. Dit opent de deur voor rootkit-auteurs om te knoeien met de Vista-kernel.

Volgens Eric Chien, een senior manager bij Symantecs, biedt de ATI-driver de mogelijkheid om kernelgeheugen te lezen en te schrijven. "Het is een bug ofwel een feature op de driver." Omdat deze toepassing gecertificeerd is én toegang heeft tot het kernelgeheugen, kunnen slimme figuren de driver voor hun karretje spannen, volgens hem. Microsoft kan het certificaat voor de driver niet intrekken, omdat het al is ingebed in ongeveer de helft van alle Vista-laptops.

ATI heeft de fout inmiddels bevestigd en werkt met Microsoft aan een update. Het probleem zou vooral zitten in de installer, meer dan in de driver. Uiterlijk vandaag wil ATI nummer 7.8 van zijn Catalyst-softwarepakket vrijgeven. Waarschijnlijk verdeelt Microsoft de update morgen, op Patch Tuesday, via het automatische updatesysteem. Lees meer artikels over : hacking tool, vista, beveiliging

bron: ZDNet

Lees verder op ZDNet »

Microsoft: 4.200 klachten over Vista is niet zo veel

Service Pack 1 belooft soelaas voor stroperig Vista

Externe links »

Zoek uw toekomstige Job! »

in de kijker »

» Bèta Windows 8 mist startknop

news

Uit gelekte screenshots blijkt dat Microsoft de startknop die al aanwezig is sinds Windows 95 uit de binnenkort te verschijnen bèta van Windows 8 heeft gehaald.

lees meer »

» 'iPad 3 wordt in maart gelanceerd'

news

De kans is groot dat de volgende iPad in de eerste week van maart al wordt voorgesteld.

lees meer »

» Op Facebook verlies je al jouw rechten

news

Wie zichzelf als particulier, bedrijf of zelfstandige promoot via Facebook, stuit op zeer strikte voorwaarden. De site bezit alles en mag je voor het minste buitengooien.

lees meer »

Review: Never Dead

Game

"Schiet me maar aan flarden, ik raap me wel terug bijeen!", Huh? Innovatie is leuk, maar een hoofdrolspeler die zijn eigen lichaam verzamelt, is nieuw. Brengt Never Dead nog meer nieuwigheden of blijft het hier bij?

lees meer »

wedstrijden »

Win 2x Trust Vintori Wireless Speaker!

Doe mee »

Win 25x Ad-Aware Pro Internet Security!

Doe mee »

Laatste Nieuws »

10/02
Chrome 17 laadt webpagina's op voorhand
10/02
Kodak stopt met digitale camera's
10/02
Tabletversie Windows 8 sterk beperkt
10/02
Google herontwerpt navigatiebalk alweer
10/02
Patent op het web blijkt ongeldig
10/02
Tribler: torrentspeurder tegen internetcensuur
10/02
Bètaversie Windows 8 op 29 februari
10/02
Google Wallet kan gehackt worden
10/02
Antitrustzaak tegen Intel stopgezet
10/02
'iPad 3 wordt in maart gelanceerd'

Array Jobs »

MEER VACATURES »

Klik op uw toekomstige job! »

Populaire Tags op ZDNet »

FWD Magazine.be »

10/02
Onkyo lanceert veelzijdige netwerkspeler
10/02
Muziek in de vrieskou
10/02
Review: SoulCalibur V
10/02
Chinees bedrijf eist excuses voor de iPad
10/02
Review: Grado PS1000

Poll »

Beschikt u in uw organisatie over een datacenter (of serverruimte)?

Win 2x Trust Vintori Wireless Speaker!

Doe mee »

Win 25x Ad-Aware Pro Internet Security!

Doe mee »

Online

in de krantenwinkel

PC MAGAZINE

Grafische kaarten, iPad 3, zo werkt een 3D-scherm, programmeren met Arduino, goedkoop PDF's bewerken, Download-pas GoogleClean 3

FWD MAGAZINE

Vergelijkende test high-end projectoren, vergelijkende test in-ear hoofdtelefoons, achtergrond lip-sync, koopgids thuisbioscoop, sneltesten, film, muziek, ...

SHOOT

Portfolio: Bieke Depoorter, In de praktijk: feestjes, Techniek: flitsen, Op locatie: Brugse Ommeland, ...

Adverteren: Minoc Business Press | Webads

"The Belgian/Dutch edition of 'ZDNet' is published under license from CBS Interactive, Inc., San Francisco, CA, USA. Editorial items appearing in ZDNet Belgie/Nederland that were originally published in the U.S. Edition of 'ZDNet' and 'CNET News' are the copyright property of CBS Interactive, Inc. or its suppliers. Copyright © 2012 CBS Interactive, Inc. All Rights Reserved. 'ZDNet', 'CNET', and 'CNET News' are trademarks of CBS Interactive, Inc."
Copyright © 2000 - 2012 Minoc Business Press RPR 0461842239.
Ontwikkeling website: Minoc Business Press | Minoc Online | Root BVBA | X-Factory | SEO door QueroMedia

Server hosting door COMBELL

Vacature titel :	Locatie :

Functie, trefwoord of bedrijfsnaam	Gemeente of provincie

	Ja, in ons bedrijf zelf
	Neen, wij gebruiken een extern datacenter
	Wij gebruiken zowel een eigen datacenter als een extern

Jobs zoeken: