Abo
  • IT-Karriere:

Ted Unangst: OpenBSD will Browser sicherer machen

Mindestens ein Webbrowser soll durch die Umsetzung einer Speicherrichtlinie aus OpenBSD abgesichert werden. Dafür bezahlt die Stiftung des Betriebssystems einen Entwickler mit Erfahrung bei Libressl.

Artikel veröffentlicht am ,
OpenBSD will die Speicherverwaltung in Browsern sicherer machen.
OpenBSD will die Speicherverwaltung in Browsern sicherer machen. (Bild: OpenBSD)

Entweder beschreibbar oder ausführbar (Write XOR Execute, W^X) beschreibt eine Richtlinie zur Speicherverwaltung, die das auf Sicherheit fokussierte OpenBSD-Projekt im Kernel ebenso wie in Laufzeit-Komponenten umgesetzt hat. Die Stiftung, welche die Arbeiten an dem System finanziell unterstützt, hat den Entwickler Ted Unangst nun damit beauftragt, W^X in mindestens einem Browser umzusetzen.

Stellenmarkt
  1. GHM Gesellschaft für Handwerksmessen mbH, München
  2. PAUL HARTMANN AG, Heidenheim an der Brenz

Bisher werde diese Richtlinie allerdings nicht zwangsweise für das gesamte System umgesetzt, sondern lediglich als Hinweis angesehen, da andernfalls viele Programme ihre Ausführung verweigerten, schreibt Unangst. Schließlich setzten viele Anwendungen voraus, dass fast alle Speicherbereiche immer ausführbar seien.

Details noch unklar

Dadurch werde jedoch das Ziel untergraben, die Richtlinie überall umzusetzen und so das System abzusichern. Weil W^X am meisten von Browsern behindert werde, müsse also mindestens einer von ihnen nun dafür angepasst werden. Das soll Unangst mit der Finanzierung der OpenBSD-Foundation in den kommenden Wochen umsetzen. Noch hat die Arbeit daran aber nicht begonnen, weshalb Unangst zumindest derzeit keine weiteren Details nennen kann.

Zunächst wird der Programmierer, der zuletzt an Libressl beteiligt war, seine Arbeit auf die Jit-Engines der jeweiligen Browser beschränken und darauf aufbauend weitere Änderungen vornehmen. Um welche Anwendung es sich konkret handelt, ist noch nicht absehbar. Unter OpenBSD laufen Firefox, Chromium und Webkit-Browser wie jener des Gnome-Desktops. Wegen der Dominanz von Google in Chromium und Apple im Webkit-Projekt erscheint jedoch die Umsetzung im Firefox am aussichtsreichsten.

Mit W^X können Angriffe verhindert werden, die etwa auf einem Buffer-Overflow beruhen. Schließlich kann so eingeschleuster Code von Angreifern nicht mehr ausgeführt werden, weil dies der Richtlinie widerspricht. Unter Linux bietet der Pax-Patch eine ähnliche Funktion.



Anzeige
Spiele-Angebote
  1. (-56%) 19,99€
  2. 33,95€
  3. 26,99€
  4. 1,12€

Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

    •  /