Symantec vindt kwetsbaarheden in kernelbeveiliging Vista
Gepubliceerd: Donderdag 10 augustus 2006
Auteur: Evan Schaafsma
Symantec is in zijn derde en laatste rapport over de beveiligingsverbeteringen in Vista voornamelijk positief, maar constateert ook een paar tekortkomingen.
In Windows XP komt kwaadaardige code voornamelijk via drivers in de kernel. In Vista moeten alle drivers voorzien zijn van een geauthoriseerd certificaat van betrouwbare bronnen als Verisign of Microsoft. Volgens Symantec kan het controlemechanisme voor de drivers echter uitgeschakeld worden door binary patches van de bestanden winload.exe en ci.dll .
Volgens het beveiligingsbedrijf is het patchen van de bestanden terwijl ze draaien relatief eenvoudig, ondanks de bescherming door de WRP - de Windows Resource Protection. Een tweede probleem betreft het gebrek aan ondersteuning voor het herroepen van certificaten in winload.exe. Hierdoor kunnen de voordelen van gesigneerde drivers teniet worden gedaan als legitieme softwarecertificaten door een andere partij misbruikt en gepubliceerd worden.
Volgens Symantec heeft Microsoft toegezegd dat de RC1-versie van Vista ondersteuning voor het herroepen van certificaten zal bieden. Deze release candidate verschijnt naar verwachting begin 2007, zo meldt Eweek.
Het beveiligingsbedrijf onderzocht eerder de netwerk- en gebruikersbeheerfuncties in bètaversies van Vista en uitte kritiek op de beveiliging van het nieuwe besturingssyteem. In het laatste rapport is Symantec, afgezien van de gesignaleerde kernelproblemen, voornamelijk positief over de veiligheidsmaatregelen die Microsoft getroffen heeft.
