Original-URL des Artikels: https://www.golem.de/news/ted-unangst-openbsd-will-browser-sicherer-machen-1503-112725.html    Veröffentlicht: 03.03.2015 16:41    Kurz-URL: https://glm.io/112725

Ted Unangst

OpenBSD will Browser sicherer machen

Mindestens ein Webbrowser soll durch die Umsetzung einer Speicherrichtlinie aus OpenBSD abgesichert werden. Dafür bezahlt die Stiftung des Betriebssystems einen Entwickler mit Erfahrung bei Libressl.

Entweder beschreibbar oder ausführbar (Write XOR Execute, W^X) beschreibt eine Richtlinie zur Speicherverwaltung, die das auf Sicherheit fokussierte OpenBSD-Projekt im Kernel ebenso wie in Laufzeit-Komponenten umgesetzt hat. Die Stiftung, welche die Arbeiten an dem System finanziell unterstützt, hat den Entwickler Ted Unangst nun damit beauftragt, W^X in mindestens einem Browser umzusetzen.

Bisher werde diese Richtlinie allerdings nicht zwangsweise für das gesamte System umgesetzt, sondern lediglich als Hinweis angesehen, da andernfalls viele Programme ihre Ausführung verweigerten, schreibt Unangst. Schließlich setzten viele Anwendungen voraus, dass fast alle Speicherbereiche immer ausführbar seien.

Details noch unklar

Dadurch werde jedoch das Ziel untergraben, die Richtlinie überall umzusetzen und so das System abzusichern. Weil W^X am meisten von Browsern behindert werde, müsse also mindestens einer von ihnen nun dafür angepasst werden. Das soll Unangst mit der Finanzierung der OpenBSD-Foundation in den kommenden Wochen umsetzen. Noch hat die Arbeit daran aber nicht begonnen, weshalb Unangst zumindest derzeit keine weiteren Details nennen kann.

Zunächst wird der Programmierer, der zuletzt an Libressl beteiligt war, seine Arbeit auf die Jit-Engines der jeweiligen Browser beschränken und darauf aufbauend weitere Änderungen vornehmen. Um welche Anwendung es sich konkret handelt, ist noch nicht absehbar. Unter OpenBSD laufen Firefox, Chromium und Webkit-Browser wie jener des Gnome-Desktops. Wegen der Dominanz von Google in Chromium und Apple im Webkit-Projekt erscheint jedoch die Umsetzung im Firefox am aussichtsreichsten.

Mit W^X können Angriffe verhindert werden, die etwa auf einem Buffer-Overflow beruhen. Schließlich kann so eingeschleuster Code von Angreifern nicht mehr ausgeführt werden, weil dies der Richtlinie widerspricht. Unter Linux bietet der Pax-Patch eine ähnliche Funktion.  (sg)


Verwandte Artikel:
Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter   
(22.01.2018, https://glm.io/132298 )
Ressl: LibreSSL-Projekt erstellt nutzerfreundliches SSL-API   
(30.09.2014, https://glm.io/109543 )
Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen   
(22.08.2017, https://glm.io/129617 )
Microsoft: OpenBSD kommt für die Azure-Cloud   
(09.06.2017, https://glm.io/128295 )
Apache-Lizenz 2.0: OpenSSL plant Lizenzwechsel an der Community vorbei   
(24.03.2017, https://glm.io/126927 )

© 1997–2019 Golem.de, https://www.golem.de/