Cross-Site Scripting führend bei Exploits
Inzwischen wird mehr Malware über den Browser als per Mail verbreitet, wie Studien belegen. Dabei sind Sicherheitslücken durch Pufferüberläufe hinter das so genannte Cross-Site Scripting zurück gefallen.
Eine Studie von Mitre hat die Sicherheitslücken untersucht, die in den Jahren 2005 und 2006 zum Einschleusen von Malware ausgenutzt wurden. Eine Studie von IDC Dänemark hat sich mit den Wegen befasst, über die Malware auf den Rechner gelangt.
Wie die Mitre-Studie zeigt, sind die Sicherheitslücken in Web-Browsern und anderen Anwendungen, die zum Auslösen von Pufferüberläufen und artverwandten Speichermanipulationen ausgenutzt werden können, nicht mehr die meist genutzten Methoden zum Einschleusen von Malware. Bereits seit 2005 ist das so genannte Cross-Site Scripting (XSS) auf dem Vormarsch und macht in diesem Jahr bislang 21,5 Prozent der verzeichneten Angriffe aus. Pufferüberlaufe landen mit 7,9 Prozent auf Platz vier, hinter SQL-Injection (14 Prozent) und PHP-Includes (9,5 Prozent).
Bei XSS-Angriffen werden Fehler in Browsern und Web-Anwendungen bei der Überprüfung der Herkunft von Programm-Code ausgenutzt. So kann ein sorgfältig inszenierter XSS-Angriff beispielsweise Javascript-Code, der von einer Website X geladen wird, im Kontext eines Framesets der Website Y erscheinen und ausgeführt werden. Ein Beispiel wäre ein Frame mit einem Anmeldeformular zu einem Web-Dienst, der in einem Frameset des Web-Dienstes angezeigt wird, jedoch vom Server des Angreifers geladen wird. Eingegebene Anmeldedaten werden dann an den Angreifer übermittelt, der sie missbrauchen oder weiterverkaufen kann.
Der Fokus der Angreifer verschiebt sich damit auch auf andere Programmiersprachen. Sind Pufferüberläufe eher ein Phänomen von Hochsprachen wie C, werden Web-Anwendungen meist in einer Mischung aus PHP und Javascript sowie zum Teil auch in Java geschrieben.
Die immer noch weit verbreitete Annahme, die größte Gefahr für Desktop-Rechner ginge von Mail-Anhängen aus, widerlegt eine Studie von IDC Dänemark. Danach wurden im letzten Jahr in Dänemark 30 Prozent der befragten Unternehmen mit mehr als 500 Angestellten Opfer von Malware, die bei der Web-Nutzung eingeschleust wurde. Dem gegenüber stehen lediglich 20 bis 25 Prozent der gleichen Firmen, die Probleme mit schädlichen Mail-Anhängen hatten.
Sowohl Unternehmen wie auch Privatanwender müssen sich also mehr als bislang um die Sicherheitsprobleme bei der normalen Web-Nutzung kümmern. Die Mindestanforderung ist dabei das zeitnahe Installieren von Sicherheits-Updates und fehlerbereinigten Programmversionen, sowohl für das Betriebssystem als auch für den Browser und andere Internet-Programme. Antivirus-Software und Firewalls gehören ebenfalls zu den wichtigen Schutzmaßnahmen. Die Bildung eines Sicherheitsbewusstseins bei den Anwendern gehört zu den meist vernachlässigten Aufgaben, denen sich Unternehmen endlich stellen müssen.
