Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: Security.nl, submitter: mr_koffie

Security.nl schrijft dat gebruikers van Windows XP SP2-systemen die Data Execution Prevention (DEP) hebben ingeschakeld, een waarschuwing kunnen verwachten bij het draaien van Skype 2.0. De bedoeling van DEP is onder meer het voorkomen van 'zero day exploits', ofwel door kwaadwillenden gemaakte misbaksels die binnen een dag na het bekend worden van een bepaalde kwetsbaarheid verschijnen. Zo hield DEP exploits tegen van het WMF-lek voordat Microsoft het probleem patchte. DEP maakt gebruik van de NX-feature die in recente cpu's is ingebouwd. Volgens George Ou van ZDNet kan DEP weliswaar voor Skype worden uitgeschakeld, maar zouden problemen die in het verleden zijn opgetreden met de software, dat niet tot de meest verstandige optie maken. 'Het is aan Skype om het probleem de wereld uit te helpen', aldus Ou.

DEP Skype waarschuwing
Moderatie-faq Wijzig weergave

Reacties (32)

Zie ook de discussie op deze pagina: meuktracker: Skype for Windows 2.0.0.69 (eerste reactie en verder).
Maar wat veroorzaakt dit dan precies? Ik kan me voorstellen dat Windows zelf bijhoudt welke blokken geheugen executed mogen worden (als de app dat zelf mag, zou het geen nut hebben).

Komt dit dus door een fout in Skype die niet netjes met z'n geheugen omgaat, of kon DEP het verschil niet goed zien?
Zou het kunnen dat Skype gebruikt maakt van SOAP? Skype is gemaakt met Delphi. De SOAP library van <= Delphi 7 genereerd dynamisch stub code, in het data segment, voor de SOAP handling. Dat is niet compatible met DEP.
Skype is helemaal niet gemaakt met Delphi, het is gemaakt met Qt.
Qt is een Graphics toolkit, Delphi is een programmeertaal...

Het een sluit het ander niet uit, er zijn vast wel delphi bindings voor Qt.
Dat verklaart misschien waarom ik bij 1.4 ook al een melding kreeg. Had DEP altijd 'uitstaan' maar na de WMF-affaire heb ik het op al m'n nx-compatible PC's aangezet. Eerste melding na reboot was die van skype 1.4.
wat het veroorzaakt is een iets wat slordig geschreven programa.

maar zo zullen er wel meer programas zijn waarbij je dit tegen komt, zeker wat ouderen.
vandaar ook dat DEP standaart staat op "turn on DEP for essential windows programes and services only"
En wat is het nadeel van DEP op die standaardinstelling te laten staan? Dat is niet voldoende?
als er dan een exploit in een niet "essential windows programe or service" word gevonden (ik noem maar wat) in emule bijvoorbeeld, dan zouden ze nog altijd wel je computer kunnen overnemen of soortgelijken ongewenste dingen doen door een buffer overflow in emule teveroorzaken.

nu richten de meeste hacker en virus schrijvers zich nog niet zo veel op andere programas omdat niet iedereen die heeft draaien. een lek in windows zelf vinden leverd veel meer potenciele "klanten" op als een lek vinden in emule.
maar als DEP echt populair gaat worden op de standaard setting kan dat gaan veranderen natuurlijk.
Het zal een kleine performancehit opleveren voor CPU die het niet ondersteunen omdat dit dan softwarematig wordt opgelost (denk ik).
Ik heb /NOEXECUTE=ALWAYSOFF in m'n boot.ini gezet want ik heb het niet nodig :)
Ik denk niet zo zeer dat het slordig geschreven is. Ik denk eerder dat Skype "slimme" code gebruikt, die helaas erg lijkt op exploit activiteit.

Zelf heb ik dit doort gingen ook gedaan.
Thunderbyte (dé virusscanner in de 90's) herkende ook patronen. Ik had een keer voor studie een (nooit verspreid) virus geschreven in assembler, en Thunderbyte viste de patronen er mooi uit.

Vervolgens ging ik dingen doen als data blocks laten uitvoeren (precies wat DEP niet toestaat) en knoeien met de stack.

Ik verwacht van de makers van Skype eerder dat ze dit bewust gedaan hebben, niet rekening houdend met DEP, dan dat het slordig programmeerwerk is.
@uid0: Nee, wat DEP doet (als ik het goed heb begrepen) is voorkomen dat pointers naar geheugengebieden buiten de aan de applicatie toegewezen gebieden mogelijk zijn, met name wanneer het NX (no execute) bit gezet is. Dit wordt gezet door procs die dat ondersteunen wanneer een byte/word overloopt.

Als je dat doet moet je nl de code (die de api aanspreekt) in de code die een buffer overflow genereerd zitten, en die code moet op een hoog authorisatie niveau draaien. Dat is niet waarschijnlijk. Als dat het geval is kun je de app meestal wel classificeren als trojan.
Zal wel vuil programmeerwerk zijn van Skype, bijv. direct een bep. geheugengebied of proces aanspreken of andere dingen doen die iets weg hebben van een exploit.

Wat ik uit het artikel begrijp detecteert de processor dit en is DEP alleen een doorgeefluik.
gebruikers van Windows XP SP2-systemen die Data Execution Prevention (DEP) hebben ingeschakeld
Dus niet bij oudere processoren omdat die geen NX aan boord hebben, maar dus wel bij een Athlon64.
Vallen Athlon64 Cpu's ook in deze categorie?
Athlon64 waren de eerste processoren die het ondersteunden.
Latere versies van Intel pentium 4's ook.

Je hebt minimaal Windows XP sp2 nodig, Windows xp 64bits is niet nodig! (maar ook daarop werkt het)

MS info: http://support.microsoft....LTH3120121123120121120120

Volgens mij ondersteunen alle AMD64 processoren de NXbit, en alle Intel EMT64 processoren ondersteunen de XD bit. (beide hetzelfde maar verschillende namen van AMD en Intel.)
De laatste Pentium M Dothan's (van het Sonoma platform) hebben ook de XD feature.

Verder werkt de DEP in XP SP2 WEL op alle processors. Bij processoren zonder NX/XD doet XP SP2 de beveiliging softwarematig, zie linkje (het staat trouwens net onder dat stukje dat jij linkt :+).
alleen werkt die veel minder goed dan de softwarematige, hij hield bijvoorbeeld de WMF exploit niet tegen

Heb overigs skype 2 draaien, een athlon64 (X2) en DEP voor alles aangezet, maar heb geen foutmelding gekregen, is dus kennelijk niet altijd. (en heb uiteraard ook SP2)
Ja. Met een Amd64 icm met Windows XP x64 (of een willekeurge processor met Windows XP met SP2) met DEP aan voor alle programma's kunnen een foutmelding krijgen.

Tenminste, dat zou zo moeten zijn. Ik krijg nooit foutmeldingen zoals in het artikel is gegeven. Bij mij werken sommige programma's niet totdat DEP voor alle programma's uitzet. Zowel onder de 64-bit windows, als z'n 32-bit broertje.
gebruikers van Windows XP SP2-systemen die Data Execution Prevention (DEP) hebben ingeschakeld
dan moet je nogsteeds een CPU hebben die het aan kan.

en ja de athlon64 valt idd in die catogorie..
Niet helemaal waar DEP kan in Windows XP met elke cpu gebruikt worden. Met de nieuwe cpu's kan dit zeg maar hardwarematig draaien anders moet je het doen via puur de software van microsoft.
Gebruikers die een CPU hebben die mogelijkerwijs het programma blokkeert en/of DEP in je Windows-configuratie. Het uitzetten van 1 van deze 2 opties, heft de andere helaas niet op.

Verder is er een KB-article wat verkeerde info geeft over de boot.ini voor het uitzetten van DEP; hierdoor kan je PC "opeens" geen NTLOADER meer vinden.

Om je PC netjes en veilig te houden, raad ik aan dat deze versie van Skype wordt overgeslagen en wordt gewacht op een oplossing van hun kant.
Ach, ik logde laatst in op een Terminal Server met Win2K3, kreeg ik ook ineens allerlei DEP meldingen van skype om mn oren... had baas van dat bedrijf geprobeerd skype op de TS te gooien, nogal nutteloos, maar het was dus nog niet eens opgestart en DEP voorkwam al mooi wat ellende :)
Overigens zit deze feature zowel in de Athlon64 als in nieuwere Pentium 4's. De genoemde terminal server was een redelijk nieuwerwetse Dell PowerEdge met Pentium 4 erin.
Dit programma zal wel aan run-time code generation doen... voor Linux bestaat ook een dergelijk protectiesysteem (PaX non-executable pages protection) en een aantal programma's (X, Java, media players) werken daarna ook niet meer 100%.

Omdat zo'n programma technisch gezien hetzelfde doet als een buffer overflow exploit (iets in RAM zetten, daarna pointer veranderen zodat t wordt uitgevoerd), ziet een systeem als DEP het verschil niet.
Er is uiteraard niets mis met run-time code generation, maar je moet natuurlijk wel zorgen dat je het geheugen wat ervoor nodig is alloceert met execute rechten (wat niet het geval is bij de standaard allocatie-functies van de taal waarin je werkt). Ik vind het maar een erg slordige fout.
ofwel door kwaadwillenden gemaakte misbaksels
Ah, ja, dat verklaard gelijk waarom ik die melding zovaak van explorer.exe kreeg :Y)

Maar even zonder flame gehalte: Heb hier in het verleden wel regelmatig een DEP melding van explorer.exe gehad (De echte explorer.exe dus)

Is natuurlijk niet zo mooi dat Skype iets doet wat MS schijnbaar niet helemaal leuk vind.
Ben het dan ook eens met die Ou, laat Skype het probleem maar oplossen, en niet door een kleine omweg "toestaan".
die melding kan van explorer.exe komen als je spyware of vage plugins hebt geinstalleerd (zowel plugins voor msie als shell aanpassingen van explorer).
Waarom niet gewoon DEP uitschakelen? Heb het al vanaf het begin van SP2 uit gezet omdat Nikon Capture crashte, maar heb ook nog geen reden gehad om het weer aan te zetten.

Tenzij ik iets mis zou ik zeggen ...uitzetten. :P
19.01.2006 version 2.0.0.73
bugfix: crashes when DEP is supported in hardware

dat doen ze snel ;)
Dat zal voor mij dan geen probleem zijn, DEP staat uit en zo blijft het ook.
En waarom blijft het bij jouw uit staan?
Alle software die jij draait is 100% stabiel? Jouw software kan geen bugs bevatten?

(zulke software zou ik ook wel willen hebben)
Ik heb er geen last van. (En ja, ik heb SP2 & DEP staat aan)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True