Address Sanitizer: Tor-Browser mit besserem Schutz vor Sicherheitslücken

Die Tor-Entwickler wollen bald eine gehärtete Version ihres Browser-Bundles für Linux veröffentlichen. Dabei kommt Address Sanitizer zum Einsatz. Dieses Feature verhindert zahlreiche Sicherheitslücken, allerdings um den Preis erheblicher Performanceeinbußen.

Artikel veröffentlicht am , Hanno Böck
Den Tor-Browser gibt's bald auch in einer gehärteten Version.
Den Tor-Browser gibt's bald auch in einer gehärteten Version. (Bild: Tor/CC-BY 3.0)

Das Tor-Browser-Bundle für 64-Bit-Linux-Systeme soll es bald in einer gehärteten Version geben. Das kündigte Tor-Entwickler Georg Koppen in einer Mail an. Eine erste Nightly-Version dieses gehärteten Tor-Browsers kann man bereits herunterladen.

Tor-Browser mit Address Sanitizer

Stellenmarkt
  1. Consultant SAP HCM (m/w/d)
    über duerenhoff GmbH, Großraum Bielefeld (Home-Office)
  2. IT-Anwendungsadministrator*in (m/w/d)
    PD - Berater der öffentlichen Hand, Berlin
Detailsuche

Das Tor-Browser-Bundle ist ein speziell angepasster Firefox-Browser, der zusammen mit der Zugangssoftware zum Tor-Netzwerk ausgeliefert wird. In der gehärteten Variante wird die Software mit Address Sanitizer oder kurz ASAN kompiliert. Bei Address Sanitizer handelt es sich um ein Compilerfeature, es ist sowohl in GCC als auch in LLVM verfügbar. Die Tor-Netzwerksoftware selbst wird zusätzlich mit dem Undefined Behavior Sanitizer kompiliert.

Address Sanitizer ist ein Schutzmechanismus, der zahlreiche ungültige Speicherzugriffe entdeckt und die Programmausführung beendet, wenn ein solcher Speicherzugriff erkannt wird. Typische Fehler, die Address Sanitizer findet, sind etwa Use-After-Free-Fehler oder Buffer Overflows. Address Sanitizer nutzt dafür einen sogenannten Shadow-Memory, in dem aufgezeichnet wird, welche Speicherbereiche gültig sind. Auch wird das Speicherlayout angepasst, so dass sich zwischen gültigen Speicherbereichen - etwa Arrays - sogenannte poisoned zones befinden. Speicherzugriffe auf die poisoned zones sind immer ungültig. Die genauen Hintergründe haben die Entwickler von Address Sanitizer vor einigen Jahren in einem Paper für eine Usenix-Konferenz erläutert.

Address Sanitizer bietet damit einen ganz erheblichen Schutz gegen zahlreiche gängige Sicherheitslücken. Dieser Schutz hat allerdings einen Preis: Programme, die mit dem Feature kompiliert wurden, sind deutlich langsamer. Wir haben mit dem gehärteten Tor-Browser einige Tests durchgeführt. Im Vergleich zum normalen Tor-Browser lief der Peacekeeper-Benchmark, der diverse HTML-Features testet, 55 Prozent langsamer. Weniger drastisch waren die Performanceeinbußen beim Kraken-Benchmark von Mozilla, der vor allem Javascript testet. Hier lief der Test im gehärteten Browser 20 Prozent langsamer.

Address Sanitizer bisher vor allem Test-Tool

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    28.06.-01.07.2022, virtuell
Weitere IT-Trainings

Der Tor-Browser ist das erste große Projekt, das versucht, Address Sanitizer für die normale Nutzung einer Software einzusetzen. Bisher wurde Address Sanitizer fast ausschließlich zum Testen von Software genutzt. Oftmals reicht es bereits, Programme mit Address Sanitizer zu kompilieren und zu starten, um Bugs zu finden. Gerne wird Address Sanitizer auch zusammen mit Fuzzing-Tools genutzt, um Fehler in Programmen zu finden. Chris Evans, der inzwischen für Tesla arbeitet, hat im vergangenen Jahr in einem Blogbeitrag ausführlich erläutert, welchen Schutz Address Sanitizer im Produktivbetrieb bietet.

Für die Tor-Software selbst, die dafür verantwortlich ist, die Verbindung zum Tor-Netzwerk aufzubauen, nutzt das gehärtete Browser-Bundle zusätzlich den Undefined Behavior Sanitizer (kurz UBSAN). Als undefined behavior oder undefiniertes Verhalten werden Codeteile bezeichnet, bei denen der Programmierer laut dem C-Standard kein bestimmtes Verhalten erwarten kann. Ein Compiler kann sich beispielsweise entscheiden, Codepfade wegzuoptimieren, die undefiniertes Verhalten aufweisen. Typische Beispiele für undefiniertes Verhalten sind Overflows von Integern mit Vorzeichen und diverse ungültige Shift-Operationen.

Wer selbst Code mit Address Sanitizer oder Undefined Behavior Sanitizer testen möchte, kann dies durch Hinzufügen entsprechender Compiler-Flags tun. Üblicherweise geschieht dies über die Variable CFLAGS für C-Code und CXXFLAGS für C++-Code, diese kann etwa einem Configure-Script übergeben werden. Die entsprechenden Parameter lauten -fsanitize=address und -fsanitize=undefined.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Retro Gaming
Wie man einen Emulator programmiert

Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
Von Johannes Hiltscher

Retro Gaming: Wie man einen Emulator programmiert
Artikel
  1. Cloudgaming: Microsoft bestätigt Game-Pass-Streaming-Box
    Cloudgaming
    Microsoft bestätigt Game-Pass-Streaming-Box

    Seit Jahren gibt es Gerüchte über eine Alternative zur aktuellen Xbox-Konsolengeneration. Microsoft hat dies nun ganz konkret bestätigt.

  2. Betriebsräte: Apple erhöht Mindestlohn auf 22 US-Dollar
    Betriebsräte
    Apple erhöht Mindestlohn auf 22 US-Dollar

    In mehreren Apple-Store-Filialen organisieren sich Beschäftigte. Ihre Lohnforderungen gehen noch weiter.

  3. FTTH: Telekom baut mehr Super Vectoring als Glasfaser aus
    FTTH
    Telekom baut mehr Super Vectoring als Glasfaser aus

    Bei der Telekom wurden eine Million Haushalte auf Super Vectoring erweitert. FTTH gab es für weitere 270.000.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K UHD günstig wie nie: 999€ • Nur noch heute: Cyber Week mit tollen Rabatten • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /