Desktop-Virtualisierung:
Core Security entdeckt Sicherheitslücke in Microsofts Virtual PC
Auf eine Schwachstelle ist nach eigenen Angaben die IT-Sicherheitsfirma Core Security bei Microsofts Virtualisierungslösung »Virtual PC« gestoßen. Sie ermöglicht es angeblich, mehrere Sicherheitsvorkehrungen zu umgehen, die Microsoft in Virtual PC integriert hat.
Eines zur Beruhigung von IT-Managern vorweg: Laut Core Security [1] ist der Hypervisor »Hyper-V« nicht von dem Problem betroffen. Hyper-V ist Bestandteil von Microsofts [2] Windows Server 2008 R2 und ermöglicht das Virtualisieren von Servern.
Weist angeblich eine Sicherheitslücke auf: Microsofts Virtual PC.
Mit Virtual PC kann ein Anwender dagegen auf einem Standard-Windows-PC eine Virtual Machine (VM) einrichten. So ist es beispielsweise möglich, auf einem Windows-7-Rechner eine VM mit Windows XP zu installieren. Auf diese Weise können User weiterhin XP-Anwendungen nutzen, die nicht unter Windows 7 laufen.
Systemverwalter setzen zudem Virtual PC ein, um vor der Migration von Anwendungen oder kompletten Systemen die Interoperabilität zu prüfen.
Schwachstellen in Anwendungen können ausgenutzt werden
Laut Core Security weist das Speichermanagement des Virtual Machine Monitor (VMM) von Virtual PC einen Fehler auf. Der VMM dient als Bindeglied zwischen der Hardware eines Rechners und den darauf laufenden VMs.
Die Schwachstelle ermöglicht Gastbetriebssystemen den Lese-/Schreibzugriff auf Speicherabbilder, die oberhalb der 2-GByte-Grenze angesiedelt sind. Dadurch ist es nach Angaben der IT-Sicherheitsfirma Angreifern möglich, mehrere Sicherheitsvorkehrungen zu umgehen.
Mit dem XP-Modus können Anwender unter Windows 7 ältere Anwendungen weiterhin nutzen.
Dazu zählen die Data Execution Prevention (DEP), Safe Exception Handles (SafeSEH) und Address Space Layout Randomization (ASLR). Das Ergebnis ist, dass einige Bugs in Programmen, die in einer nicht virtualisierten Umgebung kein Risiko darstellen, zu einer Gefahr werden. Allerdings nur dann, wenn die Software unter einem Gastbetriebssystem in Virtual PC ausgeführt werden.
Ratschlag: Auf Einsatz von Virtual PC verzichten
Core Security hat nach eigenen Angaben Microsoft bereits im August vergangenen Jahres über die Schwachstelle informiert. Die Softwarefirma habe zugesagt, die Sicherheitslücke in künftigen Versionen von Virtual PC zu beseitigen.
Betroffen sind Virtual PC 2007, Virtual PC 2007 SP1, Windows Virtual PC und Microsoft Virtual Server 2005. Auf Windows-7-Rechnern weise zudem der XP-Modus das Loch auf.
Ein System im System: Windows XP in einer Virtual Machine auf einem Windows-7-Rechner.
Bis Microsoft Patches veröffentlicht hat, rät Core Security Anwendern, bei kritischen Anwendungen auf den Einsatz von Virtual PC zu verzichten und die Applikationen lieber auf einer separaten Hardware zu installieren. Als Alternative komme der Einsatz anderer Desktop-Virtualisierungsprodukte in Betracht, etwa Vmware Workstation, Parallels Desktop oder Sun Virtual Box.
Microsoft hält dagegen
Mittlerweile hat Microsoft in einem Blog-Beitrag die Darstellung von Core Systems relativiert. Die Funktion, welche die Sicherheitsfirma angesprochen habe, sei keine Schwachstelle im eigentlichen Sinne, so Paul Cooke, Security-Fachmann von Microsoft.
Zudem seien weder Windows-7-Rechner noch Systeme, auf denen Hyper-V aktiv ist, gefährdet. Die oben angesprochenen Sicherheitsmechanismen seien nur dann in ihrer Funktion beeinträchtigt, wenn sie innerhalb einer Virtual Machine zum Einsatz kämen.
Anwender, die den XP-Modus von Windows 7 nutzen müssen, sollten laut Cooke nur diejenigen Applikationen unter der XP-Virtual-Machine laufen lassen, die diesen Modus unbedingt benötigen.
[1] http://www.coresecurity.com
[2] http://www.microsoft.de/
- 1. Seite: Core Security entdeckt Sicherheitslücke in Microsofts Virtual PC
- 2. Seite: Ratschlag: Auf Einsatz von Virtual PC verzichten
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.