Data Execution Prevention ziet Skype 2.0 als overtreder

Security.nl schrijft dat gebruikers van Windows XP SP2-systemen die Data Execution Prevention (DEP) hebben ingeschakeld, een waarschuwing kunnen verwachten bij het draaien van Skype 2.0. De bedoeling van DEP is onder meer het voorkomen van 'zero day exploits', ofwel door kwaadwillenden gemaakte misbaksels die binnen een dag na het bekend worden van een bepaalde kwetsbaarheid verschijnen. Zo hield DEP exploits tegen van het WMF-lek voordat Microsoft het probleem patchte. DEP maakt gebruik van de NX-feature die in recente cpu's is ingebouwd. Volgens George Ou van ZDNet kan DEP weliswaar voor Skype worden uitgeschakeld, maar zouden problemen die in het verleden zijn opgetreden met de software, dat niet tot de meest verstandige optie maken. 'Het is aan Skype om het probleem de wereld uit te helpen', aldus Ou.

DEP Skype waarschuwing

Door Mick de Neeve

Feedback • 18-01-2006 15:53 32

18-01-2006 • 15:53

32

Bron: Security.nl

Lees meer

Reeks karakters in bericht kan Skype laten crashen - update
Reeks karakters in bericht kan Skype laten crashen - update Nieuws van 3 juni 2015
Intel-exclusieve feature Skype gekraakt
Intel-exclusieve feature Skype gekraakt Nieuws van 6 maart 2006
'Extreem kritieke' fout bedreigt Windows XP
'Extreem kritieke' fout bedreigt Windows XP Nieuws van 28 december 2005
Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug
Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug Nieuws van 22 november 2005
Skype: in drie jaar tijd van nul naar 3,3 miljard euro
Skype: in drie jaar tijd van nul naar 3,3 miljard euro Nieuws van 19 september 2005
Skypes IM-netwerk toegankelijk voor ontwikkelaars
Skypes IM-netwerk toegankelijk voor ontwikkelaars Nieuws van 25 augustus 2005
IBM bouwt SafeKeeper-chip in desktopsystemen
IBM bouwt SafeKeeper-chip in desktopsystemen Nieuws van 16 september 2004
Microsoft herziet NGSCB - Update
Microsoft herziet NGSCB - Update Nieuws van 5 mei 2004
'Enhanced Virus Protection' voor AMD64-processors
'Enhanced Virus Protection' voor AMD64-processors Nieuws van 25 februari 2004
TCG komt met nieuwe functiebeschrijving TPM
TCG komt met nieuwe functiebeschrijving TPM Nieuws van 13 november 2003
Intel introduceert i865-moederbord met TPM-chip
Intel introduceert i865-moederbord met TPM-chip Nieuws van 25 oktober 2003
Trusted Computing Group opgericht
Trusted Computing Group opgericht Nieuws van 9 april 2003
Kritische geluiden over 'trusted computing'
Kritische geluiden over 'trusted computing' Nieuws van 4 november 2002
Meer producten en artikelen
Software

Reacties (32)

-Moderatie-faq
32
32
18
7
1
9
Wijzig sortering
CmdrKeen 18 januari 2006 16:01
Zie ook de discussie op deze pagina: meuktracker: Skype for Windows 2.0.0.69 (eerste reactie en verder).
Verwijderd 18 januari 2006 16:00
Maar wat veroorzaakt dit dan precies? Ik kan me voorstellen dat Windows zelf bijhoudt welke blokken geheugen executed mogen worden (als de app dat zelf mag, zou het geen nut hebben).

Komt dit dus door een fout in Skype die niet netjes met z'n geheugen omgaat, of kon DEP het verschil niet goed zien?
Countess @Verwijderd18 januari 2006 16:05
wat het veroorzaakt is een iets wat slordig geschreven programa.

maar zo zullen er wel meer programas zijn waarbij je dit tegen komt, zeker wat ouderen.
vandaar ook dat DEP standaart staat op "turn on DEP for essential windows programes and services only"
DeadMetal @Countess18 januari 2006 16:11
En wat is het nadeel van DEP op die standaardinstelling te laten staan? Dat is niet voldoende?
Countess @DeadMetal18 januari 2006 16:25
als er dan een exploit in een niet "essential windows programe or service" word gevonden (ik noem maar wat) in emule bijvoorbeeld, dan zouden ze nog altijd wel je computer kunnen overnemen of soortgelijken ongewenste dingen doen door een buffer overflow in emule teveroorzaken.

nu richten de meeste hacker en virus schrijvers zich nog niet zo veel op andere programas omdat niet iedereen die heeft draaien. een lek in windows zelf vinden leverd veel meer potenciele "klanten" op als een lek vinden in emule.
maar als DEP echt populair gaat worden op de standaard setting kan dat gaan veranderen natuurlijk.
darkfader @DeadMetal18 januari 2006 17:46
Het zal een kleine performancehit opleveren voor CPU die het niet ondersteunen omdat dit dan softwarematig wordt opgelost (denk ik).
Ik heb /NOEXECUTE=ALWAYSOFF in m'n boot.ini gezet want ik heb het niet nodig :)
Verwijderd @Countess18 januari 2006 16:56
Ik denk niet zo zeer dat het slordig geschreven is. Ik denk eerder dat Skype "slimme" code gebruikt, die helaas erg lijkt op exploit activiteit.

Zelf heb ik dit doort gingen ook gedaan.
Thunderbyte (dé virusscanner in de 90's) herkende ook patronen. Ik had een keer voor studie een (nooit verspreid) virus geschreven in assembler, en Thunderbyte viste de patronen er mooi uit.

Vervolgens ging ik dingen doen als data blocks laten uitvoeren (precies wat DEP niet toestaat) en knoeien met de stack.

Ik verwacht van de makers van Skype eerder dat ze dit bewust gedaan hebben, niet rekening houdend met DEP, dan dat het slordig programmeerwerk is.
bassekeNL @Verwijderd19 januari 2006 09:10
@uid0: Nee, wat DEP doet (als ik het goed heb begrepen) is voorkomen dat pointers naar geheugengebieden buiten de aan de applicatie toegewezen gebieden mogelijk zijn, met name wanneer het NX (no execute) bit gezet is. Dit wordt gezet door procs die dat ondersteunen wanneer een byte/word overloopt.

Als je dat doet moet je nl de code (die de api aanspreekt) in de code die een buffer overflow genereerd zitten, en die code moet op een hoog authorisatie niveau draaien. Dat is niet waarschijnlijk. Als dat het geval is kun je de app meestal wel classificeren als trojan.
Verwijderd @Verwijderd18 januari 2006 16:05
Zal wel vuil programmeerwerk zijn van Skype, bijv. direct een bep. geheugengebied of proces aanspreken of andere dingen doen die iets weg hebben van een exploit.

Wat ik uit het artikel begrijp detecteert de processor dit en is DEP alleen een doorgeefluik.
gebruikers van Windows XP SP2-systemen die Data Execution Prevention (DEP) hebben ingeschakeld
Dus niet bij oudere processoren omdat die geen NX aan boord hebben, maar dus wel bij een Athlon64.
martijn_brinkers @Verwijderd18 januari 2006 16:08
Zou het kunnen dat Skype gebruikt maakt van SOAP? Skype is gemaakt met Delphi. De SOAP library van <= Delphi 7 genereerd dynamisch stub code, in het data segment, voor de SOAP handling. Dat is niet compatible met DEP.
NBK @martijn_brinkers18 januari 2006 23:30
Dat verklaart misschien waarom ik bij 1.4 ook al een melding kreeg. Had DEP altijd 'uitstaan' maar na de WMF-affaire heb ik het op al m'n nx-compatible PC's aangezet. Eerste melding na reboot was die van skype 1.4.
kozue @martijn_brinkers19 januari 2006 01:42
Skype is helemaal niet gemaakt met Delphi, het is gemaakt met Qt.
psyBSD @kozue19 januari 2006 15:23
Qt is een Graphics toolkit, Delphi is een programmeertaal...

Het een sluit het ander niet uit, er zijn vast wel delphi bindings voor Qt.
Verwijderd 18 januari 2006 15:57
Vallen Athlon64 Cpu's ook in deze categorie?
mr._Anderson @Verwijderd18 januari 2006 17:32
Athlon64 waren de eerste processoren die het ondersteunden.
Latere versies van Intel pentium 4's ook.

Je hebt minimaal Windows XP sp2 nodig, Windows xp 64bits is niet nodig! (maar ook daarop werkt het)

MS info: http://support.microsoft....LTH3120121123120121120120

Volgens mij ondersteunen alle AMD64 processoren de NXbit, en alle Intel EMT64 processoren ondersteunen de XD bit. (beide hetzelfde maar verschillende namen van AMD en Intel.)
Sir_Eleet @mr._Anderson18 januari 2006 18:21
De laatste Pentium M Dothan's (van het Sonoma platform) hebben ook de XD feature.

Verder werkt de DEP in XP SP2 WEL op alle processors. Bij processoren zonder NX/XD doet XP SP2 de beveiliging softwarematig, zie linkje (het staat trouwens net onder dat stukje dat jij linkt :+).
dtech @Sir_Eleet18 januari 2006 19:30
alleen werkt die veel minder goed dan de softwarematige, hij hield bijvoorbeeld de WMF exploit niet tegen

Heb overigs skype 2 draaien, een athlon64 (X2) en DEP voor alles aangezet, maar heb geen foutmelding gekregen, is dus kennelijk niet altijd. (en heb uiteraard ook SP2)
dr snuggles @Verwijderd18 januari 2006 16:45
Ja. Met een Amd64 icm met Windows XP x64 (of een willekeurge processor met Windows XP met SP2) met DEP aan voor alle programma's kunnen een foutmelding krijgen.

Tenminste, dat zou zo moeten zijn. Ik krijg nooit foutmeldingen zoals in het artikel is gegeven. Bij mij werken sommige programma's niet totdat DEP voor alle programma's uitzet. Zowel onder de 64-bit windows, als z'n 32-bit broertje.
Arieke @Verwijderd18 januari 2006 16:00
gebruikers van Windows XP SP2-systemen die Data Execution Prevention (DEP) hebben ingeschakeld
Countess @Arieke18 januari 2006 16:03
dan moet je nogsteeds een CPU hebben die het aan kan.

en ja de athlon64 valt idd in die catogorie..
nAFutro @Countess18 januari 2006 19:32
Niet helemaal waar DEP kan in Windows XP met elke cpu gebruikt worden. Met de nieuwe cpu's kan dit zeg maar hardwarematig draaien anders moet je het doen via puur de software van microsoft.
MAX3400 @Arieke18 januari 2006 16:06
Gebruikers die een CPU hebben die mogelijkerwijs het programma blokkeert en/of DEP in je Windows-configuratie. Het uitzetten van 1 van deze 2 opties, heft de andere helaas niet op.

Verder is er een KB-article wat verkeerde info geeft over de boot.ini voor het uitzetten van DEP; hierdoor kan je PC "opeens" geen NTLOADER meer vinden.

Om je PC netjes en veilig te houden, raad ik aan dat deze versie van Skype wordt overgeslagen en wordt gewacht op een oplossing van hun kant.
_JGC_ @MAX340018 januari 2006 19:16
Ach, ik logde laatst in op een Terminal Server met Win2K3, kreeg ik ook ineens allerlei DEP meldingen van skype om mn oren... had baas van dat bedrijf geprobeerd skype op de TS te gooien, nogal nutteloos, maar het was dus nog niet eens opgestart en DEP voorkwam al mooi wat ellende :)
Overigens zit deze feature zowel in de Athlon64 als in nieuwere Pentium 4's. De genoemde terminal server was een redelijk nieuwerwetse Dell PowerEdge met Pentium 4 erin.
Sfynx 18 januari 2006 16:01
Dit programma zal wel aan run-time code generation doen... voor Linux bestaat ook een dergelijk protectiesysteem (PaX non-executable pages protection) en een aantal programma's (X, Java, media players) werken daarna ook niet meer 100%.

Omdat zo'n programma technisch gezien hetzelfde doet als een buffer overflow exploit (iets in RAM zetten, daarna pointer veranderen zodat t wordt uitgevoerd), ziet een systeem als DEP het verschil niet.
.oisyn Moderator Devschuur® @Sfynx18 januari 2006 16:42
Er is uiteraard niets mis met run-time code generation, maar je moet natuurlijk wel zorgen dat je het geheugen wat ervoor nodig is alloceert met execute rechten (wat niet het geval is bij de standaard allocatie-functies van de taal waarin je werkt). Ik vind het maar een erg slordige fout.
Nakebod 18 januari 2006 17:46
ofwel door kwaadwillenden gemaakte misbaksels
Ah, ja, dat verklaard gelijk waarom ik die melding zovaak van explorer.exe kreeg :Y)

Maar even zonder flame gehalte: Heb hier in het verleden wel regelmatig een DEP melding van explorer.exe gehad (De echte explorer.exe dus)

Is natuurlijk niet zo mooi dat Skype iets doet wat MS schijnbaar niet helemaal leuk vind.
Ben het dan ook eens met die Ou, laat Skype het probleem maar oplossen, en niet door een kleine omweg "toestaan".
SunnieNL @Nakebod19 januari 2006 07:57
die melding kan van explorer.exe komen als je spyware of vage plugins hebt geinstalleerd (zowel plugins voor msie als shell aanpassingen van explorer).
Verwijderd 18 januari 2006 18:05
Ik heb er geen last van. (En ja, ik heb SP2 & DEP staat aan)
Sparks.nl 18 januari 2006 23:19
Dat zal voor mij dan geen probleem zijn, DEP staat uit en zo blijft het ook.
mjtdevries @Sparks.nl19 januari 2006 14:46
En waarom blijft het bij jouw uit staan?
Alle software die jij draait is 100% stabiel? Jouw software kan geen bugs bevatten?

(zulke software zou ik ook wel willen hebben)
honey 19 januari 2006 17:34
Waarom niet gewoon DEP uitschakelen? Heb het al vanaf het begin van SP2 uit gezet omdat Nikon Capture crashte, maar heb ook nog geen reden gehad om het weer aan te zetten.

Tenzij ik iets mis zou ik zeggen ...uitzetten. :P
Verwijderd 20 januari 2006 14:48
19.01.2006 version 2.0.0.73
bugfix: crashes when DEP is supported in hardware

dat doen ze snel ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq