Streit um Schwachstelle

Fehler in Virtual PC kann gefährlich sein

In Microsofts Virtualisierungslösung Virtual PC steckt ein Fehler, der das Ausnutzen weiterer Sicherheitslücken ermöglichen kann. Ob dies für sich genommen schon eine Sicherheitslücke darstellt, ist umstritten.

Neuere Windows-Versionen kommen mit einer Reihe von Schutzfunktionen, die das Ausnutzen von Sicherheitslücken erschweren sollen, etwa DEP und ASLR. Doch mit Hilfe eines Fehlers in Virtual PC können solche Schutzmechanismen umgangen werden, wenn der schädliche Code in einer virtuellen Maschine ausgeführt wird. Microsoft sieht dies jedoch nicht als Sicherheitslücke an.

Das Sicherheitsunternehmen Core Security hat bereits im August 2009 eine Schwachstelle in Virtual PC entdeckt und an Microsoft gemeldet. Nachdem Microsoft befunden hat, dies sei keine Sicherheitslücke, die man beim monatlichen Patch Day mit einem Security Bulletin würdigen wolle, geht Core damit nun an die Öffentlichkeit.

Einig sind sich Core Security und Microsoft über die technischen Implikationen des Fehlers. Virtual PC räumt Prozessen allzu großzügige Zugriffsrechte auf Speicherbereiche jenseits von 2 GB ein. Dadurch lassen sich Schutzmechanismen wie DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) aushebeln. DEP & Co. können dann nicht verhindern, dass Exploit-Code eine Sicherheitslücke in einem Programm ausnutzt, das in der virtuellen Maschine gestartet wird.

Würde der gleiche Vorgang dagegen direkt im Host-System ausgeführt, auf dem Virtual PC läuft, könnte DEP die Ausnutzung der Sicherheitslücke (zum Beispiel im Browser) verhindern. So kann etwa ein Exploit eine Schwachstelle ausnutzen, wenn der Angriffs-Code im virtuellen XP-Modus von Windows 7 auf die anfällige Anwendung losgelassen wird, während er direkt unter Windows 7 scheitern würde.

Nach Lesart von Microsoft ist dieser Fehler in Virtual PC für sich genommen keine Sicherheitslücke, weil erst eine ausnutzbare Schwachstelle in einer anderen Software, die in Virtual PC ausgeführt wird, ein Risiko darstellt. Deshalb will Microsoft den Fehler erst in einem zukünftigen Service Pack oder in neuen Versionen von Virtual PC beseitigen.

Betroffen sind nach Angaben von Core Security Virtual PC 2007, Virtual Server 2005 sowie Windows Virtual PC, der virtuelle XP-Modus von Windows 7. Nicht betroffen sind Virtualisierungslösungen auf Basis von Hyper-V. (PC-Welt/cvi)