I recently got a blue screen on a Windows XP machine with the following error code:

STOP 0x0000007F (0x0000000D 0x00000000 0x00000000 0x00000000)

I wanted to find out what went wrong. This is what Microsoft has to say on the issue:

This error message can occur if either of the following conditions exists:
* Your computer has hardware or software problems (hardware failure is the most common cause).
* You try to over clock the speed of your computer’s processor (for example, you set a 150 MhZ processor to run at 187 MhZ).

[…]

The most important parameter is the first one (0x0000000X) which may have several different values. The cause of this trap can vary, depending on the value of this parameter. All traps that cause a STOP 0x7F can be found in any Intel x86 microprocessor reference manual as they are specific to the x86 platform.

Then follows a short list of common error codes, but 0x0000000D (decimal 13) is not on the list. As mentioned by the document, the full list can be found in the document called Intel® 64 and IA-32 Architectures Software Developer’s Manual, more specifically in the first volume of this 3000+ page behemoth. In Section 6.4.1 on Page 140, you can find the table “Exceptions and Interrupts” with the full list.

So, what is 0xD?

Description: General Protection
Source: Any memory reference and other protection checks.

Ah, it’s the classic General Protection Fault.

Vor einiger Zeit habe ich ja bereits über eine einfache Backuplösung für Windows mit RdiffBackup (jetzt HardlinkBackup) geschrieben. Diese funktioniert für mehrere Rechner meiner Familie ganz hervorragend. Das verbleibende Problem war jedoch, dass der Benutzer regelmäßig daran erinnert werden sollte, ein Backup anzufertigen. Unter Linux habe ich dafür schon länger eine Lösung: eine Erinnerung nach dem Login mit direkter Möglichkeit, ein Backup zu starten. Ein Artikel dazu, der meinen leicht angestaubten Artikel zu Backup unter Linux aktualisiert, folgt demnächst. Hier widme ich mich zunächst der Windows-Variante (Download am Ende des Artikels).

• Nach Windows-Systemstart / Login erscheint, wenn das letzte Backup zu alt ist (z.B. nach 7 Tagen), die Bitte, die USB-Backup-Festplatte anzuschließen.
• Wenn der Benutzer das Laufwerk anschließt und die Meldung bestätigt, startet das Backup-Programm.
• Wenn allerdings das Backup abgelehnt wird, erscheint die Meldung beim nächsten Login wieder.

Dies wird durch ein in JScript geschriebenes Programm für den Windows Script Host (WSH) erreicht. Das Skript wird zur “Installation” zunächst im Kopfbereich konfiguriert; konkret muss das gewünschte Backup-Intervall und der auszuführende Befehl eingetragen werden. Anschließend kann es einfach im Autostart-Ordner des Startmenüs abgelegt werden, so dass es nach dem Login gestartet wird.

Download:
backup_erinnerung.js

Since ICQ seems to spread inaccurate information about the security issue in ICQ7’s update process, I think I need to clarify:

It is not necessary to successfully attack the users machine or his ISP’s network first to use my exploit.

Long version:

Imagine a public hotspot at your favorite café. You have ICQ 7 installed on the laptop that you carry with you to get some work done. You start up your machine and connect to the wireless network.

What you don’t know is that there’s already someone on the café’s hotspot network who wants to harm you or other users of ICQ. He runs the attack code and a simple program to spoof the address of ICQ’s update server on his laptop or even on his mobile phone. The spoofing will affect all clients on the hotspot network, so after your ICQ client starts up, it automatically downloads the malicious update that the attacker wants to run on your computer. Damage done…

I hope this makes it clear why the “theoretical” issue in fact is an issue for people using their computer on networks that are not entirely under their control.

(This is a follow-up to my original posting on a security issue in ICQ 7)

This is what I sent to Bugtraq today after testing the new ICQ 7.4:

UPDATE:

This week, ICQ 7.4 (build 4561) was released. Even though the original
version of my exploit does not work anymore, the vulnerability was not
resolved: ICQ only changed the product ID that is included in the path
to the update file. If every ocurrence of "30009" in both python files
(see original announcement below) is replaced by "30011" and afterwards,
a new update.xml is generated using build_update_files.py, the attack
will still succeed.

Note to ICQ engineers if they're reading this: To really fix the issue,
introduce cryptographically signed update files.

If you’re still using the original ICQ client, I can only urge you to switch to another client such as Pidgin. I wouldn’t trust a company that doesn’t even offer an email address to report security issues and that tries to fix security issues in such an inept way…

Also have a look at the clarification on the security issue’s impact.

Update: ICQ 7.4 is still vulnerable. Also have a look at the clarification on the security issue’s impact.

Since the first news website googled me and found my seldomly used blog, here’s a collection of links:

• my Bugtraq post (with broken indentation for the proof of concept code; see below for the original posting)
• entry in SecurityFocus Vulnerability Database
• Vulnerability Note @ US-CERT

In the news:

• heise online: ICQ lässt sich präparierte Updates unterschieben
• The H: ICQ can be fed crafted updates
• Golem: ICQ 7 als Sicherheitsrisiko

Read on for my original mail to the Bugtraq mailing list:

Continue reading →

Windows Vista und Windows 7 bringen ein einfach verständliches und gut funktionierendes Backup-Programm bereits mit (im Startmenü nach “Sichern” suchen), das man einem Nutzer ohne große Computererfahrung einfach an die Hand geben kann. Bei Windows XP ist die Situation leider eine andere: Es gibt zwar das Programm ntbackup, das sich auch bei WinXP Home nachinstallieren lässt, aber es ist der Bedienphilosophie nach anscheinend noch in der Zeit steckengeblieben, in der man für Backups ein Bandlaufwerk benötigte…

Die Lösung für meine Zwecke ist hier RsyncBackup (das nicht mit der bis auf Groß-/Kleinschreibung identisch benannten Lösung aus der Redaktion der c’t verwechselt werden sollte). RsyncBackup benötigt als Ziel ein mit NTFS-formatiertes Laufwerk und erstellt Sicherungen, die dank Hardlinks klein sind und auch ohne die Backupsoftware wiederhergestellt werden können. Mehr zu den technischen Hintergründen auf der Webseite zum Programm.

Continue reading →

Laptops from the new Dell Latitude E series come with an OEM version of Wave Embassy Trust Suite. This software can be used (amongst others) for configuring BIOS and hard disk “passwords” based on smartcard authentication.

This is a nice feature, but what if you try to turn this off again after trying it out? There is just no such option; once configured, the smartcard login can no longer be turned off properly. The FAQ tells us to unset some passwords which just does not work as described, at least when using a hard drive password: The laptop still requires the smartcard before booting.

I wrote to the Wave Systems support and got a valuable hint, which finally worked:

1. Open a command line window (right click on the command prompt application and select “run as administrator” when you are running Windows Vista or 7)
2. Change to the following directory (cd): C:\Program Files\Wave Systems Corp\Dell Preboot Manager
3. Type the following line: PrebootEnrollmentUtil.exe x <SystemPassword>

In step 3, <SystemPassword> needs to be replaced by your system password.

This will delete all credentials in the Credential Vault. Who would have thought of a Windows application providing a command line mode mightier than the graphical counterpart? 😉