62260

Crash-Test: Wie werden Sicherheitslücken in Browsern gefunden?

18.04.2006 | 08:26 Uhr |

Sicherheitsfachleute traktieren Web-Browser mit verstümmeltem oder ungültigen Code.

Am 11. April hat Microsoft ein Sicherheits-Update für den Internet Explorer bereitgestellt, das zehn Schwachstellen beseitigen soll ( wir berichteten l). Zwei dieser Sicherheitslücken waren bis dahin nicht öffentlich bekannt. Das Sicherheitsportal Security Focus berichtet über eine der Methoden, mit denen Forscher neue Schwachstellen in Programmen entdecken.

Das Prinzip der Code-Verstümmelung, das auch schon länger für Tests verschiedener Netzwerkanwendungen dient, wird inzwischen auch auf Web-Browser angewendet. Dazu werden Web-Seiten erzeugt, die zum Beispiel ungültigen HTML-Code enthalten. Auch mehrere tausend Wiederholungen ein und derselben Anweisung sowie extrem große Werte oder sehr lange Zeichenketten für Attribute und Parameter werden eingesetzt.

Ziel ist es, den Browser zum Absturz zu bringen. Ist ein solcher Versuch erfolgreich, wird die Schwachstelle genauer untersucht, um die Ursache zu finden. Problematisch wird es immer dann, wenn der Absturz des Browsers durch einen Pufferüberlauf erfolgt, der das Einschleusen und Ausführen von beliebigem Programm-Code ermöglicht.

Ein sorgfältig programmierter Browser sollte ungültige, also ihm unbekannte HTML-Anweisungen einfach ignorieren und die Werte von Attributen und Parametern nicht ungeprüft in einen Puffer vorab festgelegter Größe schreiben. Durch nachlässige Programmierung sind jedoch in vielen Anwendungen noch derartige Fehler versteckt. Oft handelt es sich bei den betroffenen Programmteilen um Altlasten, also um Programm-Code, der zu einer Zeit geschrieben wurde, als die Programmierer weniger auf Sicherheit und mehr auf sparsamen Umgang mit knappem Speicher bedacht waren.

Einer der Gründer des Metasploit-Projekts , H.D. Moore, will auf diese Weise bereits mehr als 50 solcher Fehler im Internet Explorer entdeckt haben. Auch in anderen aktuellen Browsern soll mindestens eine solche Schwachstelle stecken, die sich zum Einschleusen von schädlichem Programm-Code eignen soll.

Die Testseite " CSSDIE " auf der Metasploit-Website demonstriert Browser-Schwachstellen bei der Verarbeitung von Style-Anweisung (CSS, Cascading Style Sheets). Während die Firefox-Version 1.5.0.1 nach Angaben auf der Seite alle Tests ohne Absturz besteht, soll der Internet Explorer an mindestens einer Stelle abstürzen.

0 Kommentare zu diesem Artikel
62260