WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Neue Browser-Lücken mittels Fuzzing entdeckt
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

 
 
Themen-Optionen Ansicht
Zurück Vorheriger Beitrag   Nächster Beitrag Nächste
Alt 04.01.2011, 20:25   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard Neue Browser-Lücken mittels Fuzzing entdeckt
Zitat:
Ein Google-Sicherheitsforscher hat ein Fuzzing-Programm veröffentlicht, mit dem er Sicherheitslücken in gängigen Web-Programmen entdeckt hat. Darunter ist auch eine im Dezember von Chinesen publizierte Schwachstelle im Internet Explorer.

Der polnische Sicherheitsforscher Michal Zalewski hat sein Fuzzing-Tool "cross_fuzz" für Jedermann zum Download bereit gestellt. Damit hat der für Google tätige IT-Spezialist bekannte Browser wie Firefox, Opera und Internet Explorer auf bislang unentdeckte Schwachstellen untersucht und ist nach eigenen Angaben fündig geworden. Auch die Webkit-basierten Browser, etwa Safari oder Chrome, haben Schwächen gezeigt.

Fuzzing ist eine sehr beliebte Methode zum Aufspüren neuer Sicherheitslücken. Dazu werden dem zu prüfenden Programm massenhaft ungewöhnliche Daten übergeben, mit denen es dann klar kommen muss. Stürzt es dabei ab, wird genauer untersucht, ob sich die Schwachstelle ausnutzen lässt, um Code einzuschleusen und auszuführen. Ein typisches Beispiel sind übermäßig lange Zeichenketten, die zum Überlaufen eines Puffers führen können, wodurch anderweitig benutzte Speicherbereiche überschrieben werden.

Zalewski hatte sein Tool sowie einige Ergebnisse bereits im Juli 2010 an Browser-Hersteller wie Microsoft, Opera und Mozilla geschickt. Einige gemeldeten Lücken in Firefox und Opera wurden in der Zwischenzeit durch Updates behoben. Microsoft habe, so Zalewski in seinem Blog, zwar den Erhalt der Mitteilung bestätigt, jedoch bis Dezember nicht weiter reagiert.

Die Ankündigung sein Fuzzing-Tool veröffentlichen zu wollen, hat dann doch eine Reaktion seitens Microsoft provoziert. Man bat Zalewski mit der Veröffentlichung noch unbestimmte Zeit zu warten. Dieser hat unterdessen festgestellt, dass eine von Chinesen veröffentlichte IE-Lücke, vor der Microsoft in seiner Sicherheitsmitteilung 2488013 warnt, identisch mit einer von ihm entdeckten Schwachstelle ist.

Daraus folgt laut Zalewski, dass Informationen über mindestens eine noch nicht behobene, kritische Sicherheitslücke in den Händen "Dritter" sind, wie er es ausdrückt. Daher hat Michal Zalewski die Dezember-Version von cross_fuzz nun ins Netz gestellt, was bei Microsoft wenig Begeisterung ausgelöst hat.
Quelle: http://www.magnus.de/news/neue-brows...t-1049338.html
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
 

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 18:17 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag