193040

Xbox 360 hat(te) eine Sicherheitslücke

28.02.2007 | 14:21 Uhr |

Die Xbox 360 hatte ein Lücke, die das Abspielen von unsignierten Code erlaubte. Microsoft hat die Lücke allerdings mittlerweile schon geschlossen.

Einem neuen Eintrag bei Security Focus ist zu entnehmen, dass die Xbox 360 eine kritische Sicherheitslücke hatte, die es ermöglichte, beliebigen und vor allem unsignierten Code auf der Konsole abzuspielen.

Der oder die Entdecker der Lücke will/wollen anonym bleiben und erläutern in dem Eintrag ausführlich, wie sich die Sicherheitslücke ausnutzen lässt. Die Wirksamkeit der Lücke war bereits Ende Dezember auf dem 23. Chaos Communication Congress ( 23C3 ) vorgeführt worden. Die Vorführung wurde auf Film festgehalten und ist beispielsweise hier bei Youtube zu sehen. Die Echtheit der Lücke wurde bis dato angezweifelt.

Der jetzige Eintrag bei Security Focus beseitigt die letzten Zweifel und erläutert ausführlich das ausgeklügelte Sicherheitskonzept der Xbox 360, das nur signierten Code ablaufen lässt und bei dem Verschlüsselung zum Einsatz kommt.

Auf die Lücke stießen die Hacker bereits Ende Oktober 2006 und erstellten bis Mitte November einen Proof-of-Concept. Ein erster Versuch Microsoft zu kontaktieren misslang. Nach der öffentlichen Vorführung wurde Microsoft erneut kontaktiert und dieses Mal klappte auch die Kontaktaufnahme. Kurze Zeit später wurde auf allen Xbox-360-Konsolen via Online-Update die Lücke geschlossen und Microsoft führte mit diesem Update auch Maßnahmen durch, damit auf den Konsolen keine ältere Firmware mehr lauffähig ist, auf der die Lücke nutzbar wäre.

0 Kommentare zu diesem Artikel
193040