Abo
  • IT-Karriere:

Browser-Fuzzing: 150 Speicherzugriffsfehler im Internet Explorer

Chinesischen Forschern ist es gelungen, mit einer relativ simplen Methode zahlreiche Use-after-Free-Fehler im Internet Explorer zu finden. Einem der Forscher wurde die Einreise in die EU zur Black-Hat-Konferenz verwehrt.

Artikel veröffentlicht am , Hanno Böck
Mittels Fuzzing lassen sich im Internet Explorer viele Sicherheitslücken finden.
Mittels Fuzzing lassen sich im Internet Explorer viele Sicherheitslücken finden. (Bild: Microsoft / bearbeitet)

Auf der Black Hat Europe stellte der chinesische Sicherheitsforscher Royce Lu eine Methode vor, mit der er und sein Kollege Bo Qu eine ganze Reihe von sicherheitskritischen Fehlern im Internet Explorer von Microsoft entdeckt haben. Grundlage ist ein Fuzzing-Tool mit einer Strategie, die sie PAIRS getauft haben. Eigentlich wollten die beiden den Vortrag gemeinsam halten, Bo Qu hatte aber kein Visum für die Einreise in die EU erhalten.

Etwas auseinandernehmen und wieder zusammensetzen

Stellenmarkt
  1. über Hays AG, München
  2. Lidl Digital, Neckarsulm, Hückelhoven, Venlo (Niederlande)

Lu beschrieb mittels einer Analogie, wie sie auf die Idee für ihr Fuzzing-Tool kamen: Bo Qu hatte versucht, das iPhone seiner Frau zu reparieren, weil das Display defekt war. Das Ganze endete damit, dass er vergaß, die Kamera wieder einzubauen, zwei Schrauben verloren hatte und das Gerät überhaupt nicht mehr funktionierte. Die Schlussfolgerung: Ingenieure sind manchmal schlecht darin, Dinge auseinanderzunehmen und wieder zusammenzubauen.

Ähnlich sah nun auch die Fuzzing-Strategie von PAIRS aus. Gesucht wurden gegensätzliche Browserfunktionen, also Befehle, die eine Aktion zuerst in eine Richtung und anschließend in eine andere Richtung durchführen. Beispiele sind etwa die CSS-Eigenschaften visible/hidden oder die Indent/Outdent-Kommandos in Javascript. Zwischen solchen Paaren von Kommandos wurden zufällige Befehle eingefügt, und die Gesamtstruktur des Testdokuments wurde möglichst ähnlich wie frühere Exploits für Browser-Bugs gestaltet.

Mit diesen Beispieldokumenten wurde der Internet Explorer getestet und Abstürze gesammelt. Die Tests liefen in virtuellen Maschinen ab, dabei liefen 20 virtuelle Systeme parallel.

150 vermutlich sicherheitskritische Fehler

Royce Lu sagte, dass sie zu Beginn hofften, im günstigsten Fall damit etwa ein Dutzend Fehler im Browser zu finden. Letztendlich fanden sie aber deutlich mehr. Das Fuzzing-Tool erzeugte circa 400 Abstürze des Internet Explorers, darunter befanden sich circa 150 vermutlich ausnutzbare Sicherheitslücken. Bislang wurden 106 der Fehler an Microsoft gesendet, einige davon wurden als Duplikate oder als unkritisch zurückgewiesen. Ganz überwiegend handelte es sich um sogenannte Use-after-Free-Fehler im Speichermanagement. 71 der Fehler haben inzwischen CVE-IDs erhalten.

Einige der Use-after-Free-Lücken werden durch Schutzmechanismen im Speichermanagement des Internet Explorers abgefangen, aber Lu argumentierte, dass man sie in jedem Fall beheben sollte. Es sei gut vorstellbar, dass zukünftige Angriffsmethoden die Schutzmechanismen umgehen können und damit solche Fehler wieder kritisch werden.

Chrome und Safari nächste Ziele

Bisher wurde das Tool nur mit dem Internet Explorer getestet, die beiden Forscher planen jedoch, demnächst auch Chrome und Safari damit unter die Lupe zu nehmen. Auch für PDF-Viewer und Flash könnte man Methoden aus PAIRS einsetzen, da dort ebenfalls JavaScript-Code eingebettet werden kann. Veröffentlicht werden soll PAIRS nicht, Lu sagte aber, dass er andere Personen dazu motivieren möchte, ähnliche Strategien selbst zu implementieren.



Anzeige
Spiele-Angebote
  1. (-75%) 6,25€
  2. 21,95€
  3. 4,99€
  4. 44,99€

violator 20. Okt 2014

tot - töter - am tötensten

Himmerlarschund... 20. Okt 2014

Wahrscheinlich dauert das Prozedere beim Fummelfox zu lange. Wenn der mal abstürzt, hängt...

Djinto 17. Okt 2014

...bei den Schweissern heisst das: Loch an Loch und hält doch! Schönes WE! Edit wg. Typo


Folgen Sie uns
       


Asus Zenfone 6 - Test

Das Zenfone 6 fällt durch seine Klappkamera auf, hat aber auch abseits dieses Gimmicks eine Menge zu bieten, wie unser Test zeigt.

Asus Zenfone 6 - Test Video aufrufen
Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

    •  /