Monat der Browser-Bugs: Bilanz und Ausblick
Der Monat der täglichen Browser-Schwachstelle ist vorbei, Veröffentlichungen dieser und ähnlicher Art sollen in loser Folge fortgesetzt werden.
Den ganzen Juli hindurch hat der Metasploit-Gründer H.D. Moore in seinem Blog "Browser Fun" täglich eine Sicherheitslücke in einem Web-Browser vorgestellt und einen Demo-Exploit mitgeliefert (wir berichteten). Nach dem Ende dieser Kampagne hat Moore ein Werkzeug bereitgestellt, das er zum Aufspüren vieler dieser Schwachstellen verwendet hat.
Die Bilanz des "Monats der Browser-Bugs" in trockenen Zahlen: Der Internet Explorer war das Hauptziel der Untersuchungen. Immerhin 25 von 31 veröffentlichten Sicherheitslücken entfallen auf die Version 6 des IE. Firefox und Apples Safari wurden je zweimal berücksichtigt, Opera und der Linux-Browser Konqueror nur je einmal. Der neue, noch im Beta-Stadium befindliche Internet Explorer 7 wurde nicht untersucht.
Die im IE gefundenen Schwachstellen hat Moore nach eigenen Angaben zumindest teilweise schon Monate zuvor an Microsoft gemeldet, offenbar ohne erkennbare Folgen. Die Fehler in Firefox waren bereits zum Zeitpunkt der Veröffentlichung durch neuere Browser-Versionen behoben. Bei den Sicherheitslücken in Safari ist Moore aufgefallen, dass sie den Konqueror nicht zu betreffen scheinen. Dies ist insofern bemerkenswert, als Safari auf dem Konqueror basiert.
Bei seiner Suche nach Fehlern im IE verwendete Moore eine derzeit sehr beliebte Technik, die als "Fuzzing" bezeichnet wird. Dabei werden dem Browser generierte, an sich sinnlose Werte für Variablen und Parameter vorgesetzt. Das kann zum Beispiel eine mehrere hundert Zeichen lange Domain-Adresse sein oder ein völlig unsinniger Wert für die Hintergrundfarbe eines HTML-Elements. Stürzt der Browser dabei ab, muss näher untersucht werden, ob sich diese Schwachstelle ausnutzen lässt, um Code einzuschleusen oder Daten auszulesen.
Sein Werkzeug zum Auffinden von Schwachstellen in ActiveX-Komponenten des Internet Explorers hat Moore "Axman" getauft und zum Download bereitgestellt. Nicht enthalten ist seine "Blacklist", eine Datei mit 100 bereits gefundenen Sicherheitslücken. Wie er schreibt, hat es etwa 20 Stunden gedauert diese Liste zu erzeugen. Um das Werkzeug einsetzen zu können, wird ein lokaler Web-Server benötigt, es gibt jedoch auch eine Online-Demonstration dazu.
In seinem Blog will Moore mit der Hilfe anderer Forscher auch in Zukunft neue Sicherheitslücken in Web-Browsern veröffentlichen, wenn auch nicht unbedingt jeden Tag. Unterdessen hat Johannes B. Ullrich vom Internet Storm Center den August zum Monat der Sicherheitstipps erklärt.
