Crash-Test: Wie werden Sicherheitslücken in Browsern gefunden?

Diskutiere Crash-Test: Wie werden Sicherheitslücken in Browsern gefunden? im IT-News Forum im Bereich IT-News; Sicherheitsfachleute traktieren Web-Browser mit verstümmeltem oder ungültigen Code. Am 11. April hat Microsoft ein Sicherheits-Update für den...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10
Sicherheitsfachleute traktieren Web-Browser mit verstümmeltem oder ungültigen Code.

Am 11. April hat Microsoft ein Sicherheits-Update für den Internet Explorer bereitgestellt, das zehn Schwachstellen beseitigen soll ( wir berichteten l). Zwei dieser Sicherheitslücken waren bis dahin nicht öffentlich bekannt. Das Sicherheitsportal Security Focus berichtet über eine der Methoden, mit denen Forscher neue Schwachstellen in Programmen entdecken.

Das Prinzip der Code-Verstümmelung, das auch schon länger für Tests verschiedener Netzwerkanwendungen dient, wird inzwischen auch auf Web-Browser angewendet. Dazu werden Web-Seiten erzeugt, die zum Beispiel ungültigen HTML-Code enthalten. Auch mehrere tausend Wiederholungen ein und derselben Anweisung sowie extrem große Werte oder sehr lange Zeichenketten für Attribute und Parameter werden eingesetzt.

Ziel ist es, den Browser zum Absturz zu bringen. Ist ein solcher Versuch erfolgreich, wird die Schwachstelle genauer untersucht, um die Ursache zu finden. Problematisch wird es immer dann, wenn der Absturz des Browsers durch einen Pufferüberlauf erfolgt, der das Einschleusen und Ausführen von beliebigem Programm-Code ermöglicht.

Ein sorgfältig programmierter Browser sollte ungültige, also ihm unbekannte HTML-Anweisungen einfach ignorieren und die Werte von Attributen und Parametern nicht ungeprüft in einen Puffer vorab festgelegter Größe schreiben. Durch nachlässige Programmierung sind jedoch in vielen Anwendungen noch derartige Fehler versteckt. Oft handelt es sich bei den betroffenen Programmteilen um Altlasten, also um Programm-Code, der zu einer Zeit geschrieben wurde, als die Programmierer weniger auf Sicherheit und mehr auf sparsamen Umgang mit knappem Speicher bedacht waren.

Einer der Gründer des Metasploit-Projekts , H.D. Moore, will auf diese Weise bereits mehr als 50 solcher Fehler im Internet Explorer entdeckt haben. Auch in anderen aktuellen Browsern soll mindestens eine solche Schwachstelle stecken, die sich zum Einschleusen von schädlichem Programm-Code eignen soll.

Die Testseite " CSSDIE " auf der Metasploit-Website demonstriert Browser-Schwachstellen bei der Verarbeitung von Style-Anweisung (CSS, Cascading Style Sheets). Während die Firefox-Version 1.5.0.1 nach Angaben auf der Seite alle Tests ohne Absturz besteht, soll der Internet Explorer an mindestens einer Stelle abstürzen.



Quelle: IDG MAgazine Verlag GmbH/PC-WELT
 
Thema:

Crash-Test: Wie werden Sicherheitslücken in Browsern gefunden?

Crash-Test: Wie werden Sicherheitslücken in Browsern gefunden? - Ähnliche Themen

  • App Crash

    App Crash: hallo , hat jemand nee Idee wo hier das Problem liegen könnte. Ich bekomme nach jedem Start den Fehler, das System läuft aber soweit ich das...
  • Intel Crash frequently after Update

    Intel Crash frequently after Update: Hello, after install the new Win64 Update from 24.08.2018 my PC don't reboot anymore. I have reinstall Windows. all works normal, and the...
  • Programm crashes

    Programm crashes: mein Probelm besteht darin dass Programme wie z.B. Teamspeak andauernd crashen. Es läuft immer so ab: Sobald ich das Programm starte kann ich es...
  • Crashes und BSODs beim spielen

    Crashes und BSODs beim spielen: Ich habe mir vor etwa einer Woche einen PC gebaut,der komplett aus neuen Teilen besteht. Schon bei der Installation von Windows hatte ich ein paar...
  • Alarm für Cobra 11 - Crash Time: Im Test

    Alarm für Cobra 11 - Crash Time: Im Test: Hallo Donnerstag Nachmittag auf der A3. Der Berufsverkehr schiebt sich vom Stadtzentrum weg, LKW überholen LKW, BMW-Fahrer fahren mit Lichthupe...
  • Ähnliche Themen

    • App Crash

      App Crash: hallo , hat jemand nee Idee wo hier das Problem liegen könnte. Ich bekomme nach jedem Start den Fehler, das System läuft aber soweit ich das...
    • Intel Crash frequently after Update

      Intel Crash frequently after Update: Hello, after install the new Win64 Update from 24.08.2018 my PC don't reboot anymore. I have reinstall Windows. all works normal, and the...
    • Programm crashes

      Programm crashes: mein Probelm besteht darin dass Programme wie z.B. Teamspeak andauernd crashen. Es läuft immer so ab: Sobald ich das Programm starte kann ich es...
    • Crashes und BSODs beim spielen

      Crashes und BSODs beim spielen: Ich habe mir vor etwa einer Woche einen PC gebaut,der komplett aus neuen Teilen besteht. Schon bei der Installation von Windows hatte ich ein paar...
    • Alarm für Cobra 11 - Crash Time: Im Test

      Alarm für Cobra 11 - Crash Time: Im Test: Hallo Donnerstag Nachmittag auf der A3. Der Berufsverkehr schiebt sich vom Stadtzentrum weg, LKW überholen LKW, BMW-Fahrer fahren mit Lichthupe...
    Oben