<img src="http://upload.userbase.be/upload/070813 ... Pil_kl.jpg" align="left" width="120" height="100">Tool lift mee met grafische driver. De zogenaamde Purple Pill heeft de gemoederen in beveiligings- en hackerkringen vorige week danig beziggehouden. Deze tool maakt het mogelijk om malware voorbij de nieuwe anti-rootkit/anti-DRM-verdediging in de 64 bit Vista-kern te smokkelen.
De 'paarse pil' maakt gebruik van een kwetsbaarheid in een grafische driver van ATI. Ontwikkelaar Alex Ionescu gaf de proof of concept-tool, gemaakt om te bewijzen dat misbruik mogelijk is, eind vorige week vrij. Hij verkeerde in de veronderstelling dat het lek in de driver al was gedicht. Vista-kernel- beveiligingsexpert Joanna Rutkowska had er begin deze maand immers op gewezen in een presentatie tijdens de Black Hat-conferentie.
Toen Ionescu merkte dat het lek nog open was, trok hij zijn tool na ruim een uur weer terug. In die tijd is de software 39 keer gedownload, schrijft Ryan Naraine op zijn blog op ZDNet.com. Onder meer medewerkers van Symantec hebben de tool afgehaald. Zij wezen ATI's driver als schuldige aan. Symantec heeft Purple Pill aangemerkt als hackingtool en stuurde een definitie-update voor zijn anti-malwareproducten uit.
Purple Pill maakt het mogelijk om ongecertificeerde, mogelijk kwaadaardige drivers binnen Vista te laden. De tool lift mee op een beveiligingscertificaat voor ATI's hardwaredriver, die is geïnstalleerd in vijftig procent van de laptops. Hij ontduikt de anti-rootkit/anti-DRM-verdediging, door bepaalde controles voor gecertificeerde drivers uit te schakelen. Dit opent de deur voor rootkit-auteurs om te knoeien met de Vista-kernel.
Volgens Eric Chien, een senior manager bij Symantecs, biedt de ATI-driver de mogelijkheid om kernelgeheugen te lezen en te schrijven. "Het is een bug ofwel een feature op de driver." Omdat deze toepassing gecertificeerd is én toegang heeft tot het kernelgeheugen, kunnen slimme figuren de driver voor hun karretje spannen, volgens hem. Microsoft kan het certificaat voor de driver niet intrekken, omdat het al is ingebed in ongeveer de helft van alle Vista-laptops.
ATI heeft de fout inmiddels bevestigd en werkt met Microsoft aan een update. Het probleem zou vooral zitten in de installer, meer dan in de driver. Uiterlijk vandaag wil ATI nummer 7.8 van zijn Catalyst-softwarepakket vrijgeven. Waarschijnlijk verdeelt Microsoft de update morgen, op Patch Tuesday, via het automatische updatesysteem.
Bron: ZDNnet.be van 13 aug 2007
Paarse pil knoeit met Vista-kern
Automatische Updates binnen gekomen en geïnstalleerd.
Bij uitschakelen van de PC werd gevraagd, wil je de updates nu installeren of wil je de PC uitschakelen.
Klik dan hier, schakel de PC niet uit. (wordt na de install uitgeschakelt)
Windows XP KB936021: Beveiligingsupdate voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB938828: Update voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB921503: Beveiligingsupdate voor Windows XP woensdag 15 augustus 2007 Automatische updates
Office 2002/XP KB940601: Beveiligingsupdate voor Excel 2002 woensdag 15 augustus 2007 Automatische updates
Windows XP KB938829: Beveiligingsupdate voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP Windows Hulpprogramma voor verwijderen van schadelijke software - aug 2007 (KB890830) woensdag 15 augustus 2007 Automatische updates
Windows XP KB937143: Cumulatieve beveiligingsupdate voor Internet Explorer 7 voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB938127: Beveiligingsupdate voor Internet Explorer 7 voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB936782: Beveiligingsupdate voor Windows Media Player 11 voor Windows XP woensdag 15 augustus 2007 Automatische updates
Bij uitschakelen van de PC werd gevraagd, wil je de updates nu installeren of wil je de PC uitschakelen.
Klik dan hier, schakel de PC niet uit. (wordt na de install uitgeschakelt)
Windows XP KB936021: Beveiligingsupdate voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB938828: Update voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB921503: Beveiligingsupdate voor Windows XP woensdag 15 augustus 2007 Automatische updates
Office 2002/XP KB940601: Beveiligingsupdate voor Excel 2002 woensdag 15 augustus 2007 Automatische updates
Windows XP KB938829: Beveiligingsupdate voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP Windows Hulpprogramma voor verwijderen van schadelijke software - aug 2007 (KB890830) woensdag 15 augustus 2007 Automatische updates
Windows XP KB937143: Cumulatieve beveiligingsupdate voor Internet Explorer 7 voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB938127: Beveiligingsupdate voor Internet Explorer 7 voor Windows XP woensdag 15 augustus 2007 Automatische updates
Windows XP KB936782: Beveiligingsupdate voor Windows Media Player 11 voor Windows XP woensdag 15 augustus 2007 Automatische updates
