26928

Adobe erbittet Stillschweigen

17.09.2008 | 14:25 Uhr |

Offenbar stellt Clickjacking eine neue Gefahr für Internetnutzer dar. Ein Vortrag, in dem Details über die Bedrohung veröffentlicht werden sollten, wurde nun mit Rücksicht auf Hersteller Adobe abgesagt.

Eigentlich wollten die beiden Sicherheitsexperten Robert Hansen und Jeremiah Grossman in der kommenden Woche auf der OWASP-Konferenz (Open Web Application Security Project) über die Gefahr referieren, die vom sogenannten Clickjacking ausgeht. Dabei bringt der Angreifer das Opfer dazu, auf Weblinks mit bösartigem Code zu klicken. Doch der Code, mit dem die Experten die Attacken demonstrieren wollten, legte auch einen Fehler in einer Adobe-Software offen. Eine Woche lang erörterten die beiden mit dem Software-Hersteller das Problem und beschlossen dann, den Vortrag nicht zu halten.

Hansen und Grossman sind aber überzeugt, dass es sich bei der Clickjacking-Schwachstelle eigentlich um ein grundlegendes Browser-Problem handelt. Auf Wunsch von Adobe veröffentlichten sie keine Details, um dem Unternehmen die Chance zu geben, einen Patch vorzubereiten, erklärte Grossman, Technischer Direktor bei White Hat Security , in einem Interview. Auch von Microsoft erwarten die beiden ein Update für ein verwandtes Problem beim Internet Explorer.

Clickjacking-Angriffe sind seit Jahren bekannt, wurden aber nicht als allzu gefährlich erachtet. Bislang gingen Sicherheitsexperten davon aus, sie würden lediglich für Klick-Betrügereien (Click-Fraud) oder Umfragen-Manipulationen genutzt. Mit ihrem Proof-of-Concept-Code zeigen Hansen und Grossman jedoch auf, dass die Gefahr wesentlich größer ist. „Das Ergebnis hat uns ziemlich erschreckt. Man stelle sich nur vor, welchen Schaden man anrichten kann, wenn man die Kontrolle darüber hat, worauf ein Anwender klickt – ziemlich großen, wie sich gezeigt hat“, so Grossman. Ins Detail gehen die beiden nicht. OWASP-Organisator Tom Brennan kennt das Angriffsszenario bereits und deutet an, dass es dem Angreifer komplette Kontrolle über den Desktop des Opfers gebe.

SecTheory -Geschäftsführer Robert Hansen betont in seinem Blog , dass Adobe sie nicht dazu gedrängt hat, den Vortrag abzusagen. Montagabend bedankte sich das Unternehmen in einem Blog-Eintrag bei den beiden Sicherheitsexperten für das Stillschweigen und deutete an, dass bereits an einem Patch gearbeitet werde.

Brennan ist der Meinung, dass die beiden Forscher ihren Vortrag trotzdem halten sollten, selbst wenn dadurch die Adobe-Schwachstelle bekannt würde. IT-Experten sollten die Gelegenheit haben, das Ausmaß der Bedrohung kennenzulernen. „In den Browsern schlummert eine Bedrohung, die jeden Moment ausbrechen kann und Millionen von Menschen betrifft. Wann man darüber redet, wissen zumindest alle Bescheid – nicht nur die Angreifer.“

0 Kommentare zu diesem Artikel
26928