Pas op: Windows implementeert ASLR onjuist, Fix is beschikbaar
Sergey Tkachenko is een softwareontwikkelaar uit Rusland die Winaero in 2011 begon. Op deze blog schrijft Sergey over alles wat met Microsoft, Windows en populaire software te maken heeft. Volg hem op Telegram, Twitter, en YouTube.
Hallo Sergey,
Ik denk dat je een '0' mist van het op twee na laatste paar cijfers (zowel op deze pagina als de reg-download).
U heeft: “00,01,01,00,00,00,00,00,00,00,00,0,00,00”
Zou het niet moeten zijn: "00,01,01,0,00,00,00,00,00,00,00,00,00,00"
Proost
John
Ik weet niet zeker of deze "fix" de verplichte ASLR niet inschakelt, zelfs als je het niet instelt in de GUI van 1709. Dat zou slecht zijn, want ik zou gebruikers sowieso niet aanraden om verplichte ASLR in te schakelen. Dit breekt oude apps zonder veel meer bescherming te bieden als de app toch 32 bits is, omdat de adresruimte niet groot genoeg is om voldoende entropie te garanderen.
Dus het negeren van deze waarschuwing en alleen opt-in ASLR gebruiken (niet verplicht) is waarschijnlijk de beste optie voor de meeste mensen. Dit zal waarschijnlijk geen gevolgen hebben voor hun dagelijkse computerervaring, aangezien ze waarschijnlijk geen verplichte ASLR-gegevens gebruikten de eerste plaats en de oplossing activeert mogelijk de verplichte ASLR en zorgt ervoor dat het correct werkt terwijl het gewoon standaard was uitgeschakeld voordat.
Onthoud dat ASLR u alleen wil beschermen als de beschermde app specifiek door een specifieke malware wordt aangevallen. De meeste mensen zouden banger moeten zijn om een drive-by-download te krijgen die op Flash is gericht dan een oude app die ze gebruiken die niet zo populair is, en ze zou deze app een geïnfecteerd bestand van internet moeten laten lezen of geïnfecteerde gegevens die zijn verzameld vanaf een specifieke locatie waar de software naar kijkt. Dat lijkt mij een vrij laag risico.
Ik denk dat dit bericht moet worden gecorrigeerd, je moet in ieder geval het volgende vermelden:
Het inschakelen van systeembrede verplichte ASLR op Windows zal resulteren in een veel oude softwarecrash, en wat nog erger is:
overgenomen van MS
"Tijdens onze tests kwamen we problemen tegen in een veelvoorkomend gebruiksscenario waarbij het instellen van ASLR op "Always On" ervoor zou zorgen dat een systeem tijdens het opstarten een blauw scherm zou krijgen. Dit gebeurde omdat de adresruimte voor bepaalde videostuurprogramma's van derden willekeurig werd verdeeld. Deze stuurprogramma's waren niet gebouwd om deze randomisatie te ondersteunen en crashten vervolgens, waardoor het hele systeem ook crashte."
Dus US-Cert mitigation patch die hier is gepubliceerd, mag alleen worden toegepast voordat de officiële patch van MS uitkwam.
Ook Windows 10 Creator Update (1709), heeft Exploit Guard ingebouwd, dus het toepassen van deze patch zal meer schade aanrichten dan veiligheid.