121620

Black Hat: Mozilla stellt eigenen Fuzzer vor

31.07.2007 | 16:25 Uhr |

Auf der Sicherheitskonferenz Black Hat wollen Sicherheitsfachleute der Mozilla Corporation die Werkzeuge vorstellen und veröffentlichen, mit denen die Entwickler die Sicherheit von Firefox und Thunderbird verbessern.

Die Verwendung so genannter "Fuzzing Tools" oder "Fuzzer" zum Aufspüren von Sicherheitslücken in Anwendungen ist bereits seit einiger Zeit Standard. Etliche Software-Firmen setzen solche Werkzeuge ein, die sie selbst entwickelt oder von anderen zugekauft haben. Selten jedoch wird ein Software-Hersteller selbst entwickelte Tools dieser Art der Allgemeinheit zur Verfügung stellen. Genau dies jedoch soll am Mittwoch auf der Sicherheitskonferenz Black Hat in Las Vegas passieren.

In ihrem Vortrag "Building and Breaking the Browser" wollen Window Snyder und Mike Shaver von der Mozilla Corporation die Offenheit des Mozilla-Projekts demonstrieren. Sie werden die Werkzeuge und Methoden vorstellen, mit denen die Entwickler von Firefox und Thunderbird nach Sicherheitslücken in ihren eigenen Programmen suchen. Dazu zählen Fuzzer für die Protokolle HTTP und FTP sowie für die Programmiersprache Javascript. Fuzzer traktieren Programme stundenlang mit sinnlosen Parametern, um zu prüfen, ob sie sich dadurch zum Absturz bringen lassen.

Angekündigt ist jedoch nicht nur eine Vorstellung und Demonstration dieser Tools, zumindest ein Teil davon soll auch veröffentlicht werden. Damit wollen die Mozilla-Verantwortlichen auch unabhängige Sicherheitsforscher in die Lage versetzen zur Verbesserung der Sicherheit von Firefox und Thunderbird beizutragen.

Ein solcher Schritt birgt jedoch auch ein gewisses Risiko. So können auch diejenigen, die Sicherheitslücken für kriminelle Zwecke ausnutzen, etwa um Malware einzuschleusen, diese Werkzeuge nutzen und ihre Erkenntnisse für sich behalten. Dieses Risiko sind die Verantwortlichen des Mozilla-Projekts offenbar bereit einzugehen.

Auch andere Browser-Hersteller wie Microsoft oder Opera setzen selbst entwickelte Fuzzing Tools zum Aufspüren von Schwachstellen ein. Sie werden jedoch in der Regel nicht veröffentlicht. Hersteller-unabhängige Forscher hingegen haben bereits derartige Tools publiziert, so etwa H.D. Moore vom Metasploit-Projekt , der seinen ActiveX-Fuzzer "Axman" veröffentlicht hat.

0 Kommentare zu diesem Artikel
121620