Who's Online
|
|
Zur Zeit sind Gäste und Mitglied(er) online. Sie sind ein anonymer Benutzer. Sie können sich hier anmelden
|
Online Werbung
|
|
Hauptmenü
|
|
Languages
|
|
Sprache für das Interface auswählen
|
| |
|
|
|
|
|
|
News - Central - News Center & News Guide !
Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung
Geschrieben am Montag, dem 06. Juli 2015 von News-Central.de
|
|
Freie-PM.de: Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype
Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.
"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der "Binary Formatter", der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."
Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.
Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw
Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Bildrechte: Context
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
http://www.contextis.de
Pressekontakt:
Press'n'Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
(Weitere interessante USA News & USA Infos können Sie auch hier auf diesem Portal nachlesen.)
Veröffentlicht von >> PR-Gateway << auf http://www.freie-pressemitteilungen.de - dem freien Presseportal mit aktuellen News und Artikeln
Context stellt neues White Paper auf der "Black Hat USA"-Konferenz vor
Die Analysten von Context Information Security haben auf der "Black Hat USA", die derzeit in Las Vegas stattfindet, ein neues White Paper vorgestellt. Darin werden Sicherheitslücken im .NET Framework von Microsoft beschrieben, die auf Schwachstellen in der Serialisierungsfunktion beruhen. Sie erlauben eine ferngesteuerte Ausführung von Schadcode innerhalb der Umgebung. Es besteht die Gefahr, dass Daten unberechtigt offengelegt werden. Die Details zu diesen Schwachstellen hat James Forshaw, Principal Security Consultant bei Context, zusammengestellt. Das White Paper mit dem Titel "Breaking .NET Through Serialization" ist ab sofort auch online auf der Website von Context zu finden.
www.contextis.com/research/white-papers/areyoumytype
Bereits Anfang des Jahres hatte Context auf Sicherheitsrisiken im .NET Framework hingewiesen und geholfen, diese zu beseitigen. Im Mai stellte Microsoft ein Patch zur Verfügung, der die Arbeitsweise des sogenannten "Serialization Framework" verändert. Dabei handelt es sich um eine der Hauptfunktionen von auf .Net-basierenden Anwendungen, denn sie erlaubt das einfache Speichern und Übertragen von Daten und Objekten. Die von Context identifizierten Schwachstellen ermöglichen Angreifern eine Applikation entweder über ein Remote Interface zu kompromittieren oder durch Code, der in einer Sandbox ausgeführt wird. Auf diese Weise erhalten sie Zugriff auf Authentifizierungsdetails oder können bestehende Sicherheitsmaßnahmen umgehen, um Schadcode auszuführen. Zu den betroffenen Anwendungen können Applikationen mit lokalen Sonderrechten gehören, geschlossene Sandbox-Umgebungen wie XAML Browser-basierte Systeme oder auch per Fernzugriff erreichbare Betriebsdienste.
"Der Serialisierungsprozess gehört zu den grundlegenden Funktionen in vielen handelsüblichen Anwendungsumgebungen, denn er eröffnet Entwicklern viele Möglichkeiten", erklärt James Forshaw. "Das .Net Framework bietet unzählige Methoden, um den Status eines Objekts zu serialisieren. Die bei weitem mächtigste Funktion ist der "Binary Formatter", der bereits seit der Version 1.0 Teil der Umgebung ist. Die Macht dieses Serialisierungsmechanismus verbunden mit seinem langen Bestehen sowie der engen Verknüpfung mit der .NET runtime machen ihn zu einem besonders prominenten Angriffsziel."
Das White Paper beschreibt einige der größten Schwachstellen. Sie erlauben das Ausführen von Schadcode, die Ausweitung von lokalen Zugriffsrechten und das Auslesen von Informationen - nicht nur von .Net Code aus einer Sandbox wie der eines Browsers. Betroffen sind auch Netzwerk-Dienste, die handelsübliche Framework-Bibliotheken benutzen. "Wer die grundlegenden Angriffstechniken versteht, die sich im Übrigen auch auf andere Serialisierungstechnologien übertragen lassen, der kann beliebte Fehler in der Binärserialisierung vermeiden", rät Forshaw Entwicklern und anderen Betroffenen.
Weitere Informationen zur Black Hat USA (Las Vegas, 21.-26. Juli 2012) unter:
https://www.blackhat.com/html/bh-us-12/bh-us-12-briefings.html#Forshaw
Der Microsoft Patch zu den Schwachstellen im .NET Framework kann hier angesehen und heruntergeladen werden:
http://technet.microsoft.com/en-us/security/bulletin/ms12-035
Bildrechte: Context
Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
http://www.contextis.de
Pressekontakt:
Press'n'Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
az@press-n-relations.de
073196287-20
http://www.press-n-relations.de
(Weitere interessante USA News & USA Infos können Sie auch hier auf diesem Portal nachlesen.)
Veröffentlicht von >> PR-Gateway << auf http://www.freie-pressemitteilungen.de - dem freien Presseportal mit aktuellen News und Artikeln
|
Für die Inhalte dieser Veröffentlichung ist nicht News-Central.de als News-Portal sondern ausschließlich der Autor (Freie-PM.de) verantwortlich (siehe AGB). Haftungsausschluss: News-Central.de distanziert sich von dem Inhalt dieser Veröffentlichung (News / Pressemitteilung inklusive etwaiger Bilder) und macht sich diesen demzufolge auch nicht zu Eigen! |
"Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung" | Anmelden/Neuanmeldung | 0 Kommentare |
| Für den Inhalt der Kommentare sind die Verfasser verantwortlich. |
|
|
Keine anonymen Kommentare möglich, bitte zuerst anmelden |
|
Diese Web-Videos bei News-Central.de könnten Sie auch interessieren: |
Jean-Michel Jarre: Live in Monaco (The whole concer ...
| Stephan Remmler (Trio): Da Da Da (Official Video)
| Streitfall Biogas - Goldrausch auf dem Acker
|
|
|
Diese Testberichte bei News-Central.de könnten Sie auch interessieren: |
Doña María Mole Gewürzpaste
Diese Paste ist das Topping für ihre Enchiladas.
Und wenn sie sich beim Essen fragen, ist da etwa Schokolade drin, richtig, auch die kann man zum Würzen nehmen.
B ... (Frederik de Kulm, 24.4.2021)
Kimilho Flocao – brasilianische Maisflocken
Ich bin ja großer Fan von italienischer Küche und dazu gehört auch ab und an Polenta.
Die wird gewöhnlich aus Maisgries gemacht.
Da bekam ich den Tipp ich sollte doch ... (Mira Bellini, 25.4.2021)
Diese News bei News-Central.de könnten Sie auch interessieren: |
STÜKEN plant Galvanik-Neubau (PR-Gateway, Freitag, 26. April 2024) Der Hersteller von Präzisions-Tiefziehteilen investiert 28 Millionen Euro in den Standort Rinteln
STÜKEN wird eine neue Galvanikanlage am Fertigungsstandort im Industriegebiet Rinteln-Süd bauen. Der Weltmarktführer im Tiefziehen wird dafür rund 28 Millionen Euro investieren. In einer Auftaktveranstaltung mit Rintelns Bürgermeisterin Andrea Lange sowie Teilnehmern von Fachfirmen und Gewerbeaufsicht wurde das Projekt Ende Februar gestartet.
STÜKEN steht als weltweit f ...
Laura Carbone veröffentlicht ihr neues Album The Cycle (PR-Gateway, Freitag, 26. April 2024) Ein geradezu erlesenes Werk voller furchtloser weiblicher Reife, Mystik und einer ungeheuren Kraft
"The Cycle" (VÖ: 26. April 2024 / Cosmic Dreaming) ist Laura Carbones viertes Album - ein geradezu erlesenes Werk voller furchtloser weiblicher Reife, Mystik und einer ungeheuren Kraft, die die Hörer:innen tief in den Soundtrack einer Metamorphose mitnimmt. Die insgesamt 13 Tracks der Doppel-LP zeigen eine gekonnt die Genres miteinander verschmelzende, gereifte Künstlerin nach ihrer tief ...
Man kann nicht nicht kommunizieren - reloaded (PR-Gateway, Freitag, 26. April 2024) Warum ein Gesprächsraum nicht allein der Interpretation überlassen werden sollte
Im Grunde können alle mitreden, wenn man über Kommunikation diskutiert. Allein schon die Tatsache, dass man mitredet, zeigt, dass man bereits kommuniziert. Kaum eine Aus- oder Weiterbildung, kaum ein Fachartikel oder Standartwerk, kaum ein Seminar oder Vortrag kommt ohne Paul Watzlawicks These "Man kann nicht nicht kommunizieren" aus. Doch hat das in unserer heutigen Businesswelt überhaupt noch eine Relev ...
Controlware erhält erneut die \'\'Great Place to Work\'\'-Auszeichnungen \'\'Beste Arbeitgeber ITK\'\' und \'\'Beste Arbeitgeber Hessen\'\' (PR-Gateway, Freitag, 26. April 2024)
Dietzenbach, 24. April 2024 - Controlware wurde durch das internationale Forschungs- und Beratungsinstitut "Great Place to Work" auch 2024 mit den renommierten Qualitätssiegeln "Beste Arbeitgeber ITK" und "Beste Arbeitgeber Hessen" ausgezeichnet.
Die Vergabe des "Great Place to Work"-Siegels basiert auf anonymen und repräsentativen Befragungen der Mitarbeitenden und des Managements der teilnehmenden Unternehmen. Die Ergebnisse dieser Befragungen werden im Verhältni ...
Mit 0% Risiko bis zu 30 Amazon-Bewertungen bekommen! (PR-Gateway, Freitag, 26. April 2024) metaprice erklärt, wie du in 1 bis 2 Monaten mit 0% Risiko bis zu 30 Amazon-Bewertungen bekommen kannst.
Wie du in 1 bis 2 Monaten mit 0% Risiko bis zu 30 Amazon-Bewertungen bekommen kannst
Die Welt des E-Commerce auf Plattformen wie Amazon kann ein wahrer Dschungel sein, besonders wenn es darum geht, Vertrauen und Glaubwürdigkeit für deine Produkte aufzubauen. Eine der größten Hürden ist oft, genügend authentische Bewertungen zu erhalten, um potenzielle Kunden zu ü ...
Attraktive Angebote für Immobiliensuchende in Bornheim und der Region (PR-Gateway, Freitag, 26. April 2024) Mithilfe der WAV Immobilien Reuschenbach GmbH das perfekte Zuhause finden
Die Suche nach dem idealen Zuhause kann herausfordernd sein. Die WAV Immobilien Reuschenbach GmbH aus Bornheim bietet Immobiliensuchenden daher professionelle Unterstützung an. Geschäftsführer Rene Reuschenbach betont: "Unsere Experten stehen unseren Kunden zur Seite, um ihr Traumobjekt zu finden."
Besonders in der Region Köln/Bonn, aber auch in Bornheim, Wesseling, Brühl sowie weiteren Städte ...
Der Reiseblogger Malte Harms entdeckt Köln (PR-Gateway, Freitag, 26. April 2024) Eine neue Perspektive auf die Stadt mit Malte Harms
Malte Harms, der bereits in zahlreichen Ländern und Städten unterwegs war, ist bekannt für seine authentischen und ehrlichen Reiseberichte. In Köln hat er sich vor allem auf die Kultur und Geschichte der Stadt konzentriert. So besuchte er unter anderem den Kölner Dom, das Römisch-Germanische Museum und das Schokoladenmuseum. Doch auch abseits der touristischen Hotspots hat Malte Ha ...
Blockalarm Alarmanlagen: Ihre Sicherheit ist unsere höchste Priorität (PR-Gateway, Freitag, 26. April 2024) Effektive Alarmanlagen von Blockalarm
Blockalarm Alarmanlagen ist Ihr vertrauenswürdiger Partner, wenn es um Sicherheit geht. Das Unternehmen kann eine langjährige Erfahrung vorweisen und kennt sich dadurch bestens aus, wenn es darum geht, Sie vor Gefahren zu schützen.
Inhalt
-Unsere Erfahrung - Ihr Schutz
-Warum ist Erfahrung wichtig?
-Die Produktpalette - Qualität und Innovation ...
Stefan Gaetano Ala: Das Leitprinzip der APOLONIA Gruppe und sein Einfluss auf den Immobilienmarkt (PR-Gateway, Freitag, 26. April 2024) Stefan Gaetano Ala projektiert die APOLONIA Gruppe mit dem Ziel, bezahlbaren Wohnraum zu schaffen.
Stefan Gaetano Ala verbindet soziale Verantwortung mit unternehmerischem Denken in seiner Rolle als Projektleiter gemeinsam. Sein ambitioniertes Ziel ist es, ohne Einbußen an Komfort, bezahlbaren Wohn- und Gewerberaum zu schaffen. Mit einem klaren Blick auf die Bedürfnisse der Menschen will Stefan Ala durch innovative und nachhaltig ...
Ina Zierhut: Die Künstlerin des Permanent MakeUp aus Waldkraiburg (PR-Gateway, Donnerstag, 25. April 2024)
Ina Zierhut: Die Künstlerin des Permanent MakeUp erobert die Weltbühne
Waldkraiburg, den 18. April 2024:
Ina Zierhut hat die Welt des Permanent MakeUp erobert und sich als eine der führenden Künstlerinnen in dieser Branche etabliert. Mit ihrem außergewöhnlichen Talent und ihrer unermüdlichen Hingabe hat sie zahlreiche internationale Auszeichnungen und Titel gewonnen, die ihre Expertise und ihr Können unterstreichen.
Als mehrfache intern ...
Werbung bei News-Central.de: |
Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung |
|
Video Tipp @ News-Central.de
|
|
Online Werbung
|
|
Verwandte Links
|
|
Artikel Bewertung
|
|
durchschnittliche Punktzahl: 0 Stimmen: 0
|
Online Werbung
|
|
Möglichkeiten
|
|
|
|
|