Abo
  • Services:
Anzeige
Mittels Fuzzing lassen sich im Internet Explorer viele Sicherheitslücken finden.
Mittels Fuzzing lassen sich im Internet Explorer viele Sicherheitslücken finden. (Bild: Microsoft / bearbeitet)

Browser-Fuzzing: 150 Speicherzugriffsfehler im Internet Explorer

Mittels Fuzzing lassen sich im Internet Explorer viele Sicherheitslücken finden.
Mittels Fuzzing lassen sich im Internet Explorer viele Sicherheitslücken finden. (Bild: Microsoft / bearbeitet)

Chinesischen Forschern ist es gelungen, mit einer relativ simplen Methode zahlreiche Use-after-Free-Fehler im Internet Explorer zu finden. Einem der Forscher wurde die Einreise in die EU zur Black-Hat-Konferenz verwehrt.

Anzeige

Auf der Black Hat Europe stellte der chinesische Sicherheitsforscher Royce Lu eine Methode vor, mit der er und sein Kollege Bo Qu eine ganze Reihe von sicherheitskritischen Fehlern im Internet Explorer von Microsoft entdeckt haben. Grundlage ist ein Fuzzing-Tool mit einer Strategie, die sie PAIRS getauft haben. Eigentlich wollten die beiden den Vortrag gemeinsam halten, Bo Qu hatte aber kein Visum für die Einreise in die EU erhalten.

Etwas auseinandernehmen und wieder zusammensetzen

Lu beschrieb mittels einer Analogie, wie sie auf die Idee für ihr Fuzzing-Tool kamen: Bo Qu hatte versucht, das iPhone seiner Frau zu reparieren, weil das Display defekt war. Das Ganze endete damit, dass er vergaß, die Kamera wieder einzubauen, zwei Schrauben verloren hatte und das Gerät überhaupt nicht mehr funktionierte. Die Schlussfolgerung: Ingenieure sind manchmal schlecht darin, Dinge auseinanderzunehmen und wieder zusammenzubauen.

Ähnlich sah nun auch die Fuzzing-Strategie von PAIRS aus. Gesucht wurden gegensätzliche Browserfunktionen, also Befehle, die eine Aktion zuerst in eine Richtung und anschließend in eine andere Richtung durchführen. Beispiele sind etwa die CSS-Eigenschaften visible/hidden oder die Indent/Outdent-Kommandos in Javascript. Zwischen solchen Paaren von Kommandos wurden zufällige Befehle eingefügt, und die Gesamtstruktur des Testdokuments wurde möglichst ähnlich wie frühere Exploits für Browser-Bugs gestaltet.

Mit diesen Beispieldokumenten wurde der Internet Explorer getestet und Abstürze gesammelt. Die Tests liefen in virtuellen Maschinen ab, dabei liefen 20 virtuelle Systeme parallel.

150 vermutlich sicherheitskritische Fehler

Royce Lu sagte, dass sie zu Beginn hofften, im günstigsten Fall damit etwa ein Dutzend Fehler im Browser zu finden. Letztendlich fanden sie aber deutlich mehr. Das Fuzzing-Tool erzeugte circa 400 Abstürze des Internet Explorers, darunter befanden sich circa 150 vermutlich ausnutzbare Sicherheitslücken. Bislang wurden 106 der Fehler an Microsoft gesendet, einige davon wurden als Duplikate oder als unkritisch zurückgewiesen. Ganz überwiegend handelte es sich um sogenannte Use-after-Free-Fehler im Speichermanagement. 71 der Fehler haben inzwischen CVE-IDs erhalten.

Einige der Use-after-Free-Lücken werden durch Schutzmechanismen im Speichermanagement des Internet Explorers abgefangen, aber Lu argumentierte, dass man sie in jedem Fall beheben sollte. Es sei gut vorstellbar, dass zukünftige Angriffsmethoden die Schutzmechanismen umgehen können und damit solche Fehler wieder kritisch werden.

Chrome und Safari nächste Ziele

Bisher wurde das Tool nur mit dem Internet Explorer getestet, die beiden Forscher planen jedoch, demnächst auch Chrome und Safari damit unter die Lupe zu nehmen. Auch für PDF-Viewer und Flash könnte man Methoden aus PAIRS einsetzen, da dort ebenfalls JavaScript-Code eingebettet werden kann. Veröffentlicht werden soll PAIRS nicht, Lu sagte aber, dass er andere Personen dazu motivieren möchte, ähnliche Strategien selbst zu implementieren.


eye home zur Startseite
violator 20. Okt 2014

tot - töter - am tötensten

Himmerlarschund... 20. Okt 2014

Wahrscheinlich dauert das Prozedere beim Fummelfox zu lange. Wenn der mal abstürzt, hängt...

Djinto 17. Okt 2014

...bei den Schweissern heisst das: Loch an Loch und hält doch! Schönes WE! Edit wg. Typo



Anzeige

Stellenmarkt
  1. Technische Universität Hamburg, Hamburg
  2. Robert Bosch Start-up GmbH, Renningen
  3. Robert Bosch GmbH, Abstatt
  4. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden-Dützen


Anzeige
Spiele-Angebote
  1. (-10%) 89,99€
  2. (-10%) 35,99€
  3. (-67%) 9,99€

Folgen Sie uns
       


  1. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  2. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  3. Elektroauto

    Walmart will den Tesla-Truck

  4. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  5. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  6. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  7. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  8. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  9. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

  10. Sicherheitslücke bei Amazon Key

    Amazons Heimlieferanten können Cloud Cam abschalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
iPhone X im Test: Es braucht schon Zwillinge, um Face ID zu überlisten
iPhone X im Test
Es braucht schon Zwillinge, um Face ID zu überlisten
  1. Homebutton ade 2018 sollen nur noch rahmenlose iPhones erscheinen
  2. Apple-Smartphone iPhone X knackt und summt - manchmal
  3. iPhone X Sicherheitsunternehmen will Face ID ausgetrickst haben

Smartphone-Speicherkapazität: Wie groß der Speicher eines iPhones sein sollte
Smartphone-Speicherkapazität
Wie groß der Speicher eines iPhones sein sollte
  1. iPhone Apple soll auf Qualcomm-Modems verzichten
  2. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps
  3. Handy am Steuer Gericht bestätigt Apples Unschuld an tödlichem Autounfall

Rubberdome-Tastaturen im Test: Das Gummi ist nicht dein Feind
Rubberdome-Tastaturen im Test
Das Gummi ist nicht dein Feind
  1. Surbook Mini Chuwi mischt Netbook mit dem Surface Pro
  2. Asus Rog GL503 und GL703 Auf 15 und 17 Zoll für vergleichsweise wenig Geld spielen
  3. Xbox One Spielentwickler sollen über Maus und Tastatur entscheiden

  1. Re: Witzig. Wieder ein E-Auto bericht von Leuten...

    Geistesgegenwart | 16:37

  2. Bullshit.

    /lib/modules | 16:34

  3. Re: Amazone TV mit HDR und wo bleibt der Ton?

    Hummerman | 16:32

  4. Re: "Versemmelt"

    No name089 | 16:26

  5. Re: Schau dir doch an, wie Björn im Norwegischen...

    lear | 16:22


  1. 13:36

  2. 12:22

  3. 10:48

  4. 09:02

  5. 19:05

  6. 17:08

  7. 16:30

  8. 16:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel