Sicherheits-Tool deckt zahlreiche Fehler in allen Browsern auf

Nach Meinung des Browsersicherheitsspezialisten Michal Zalewski haben chinesische Hacker offenbar seit Längerem Kenntnis über eine bis vor Kurzem nicht öffentlich bekannte Sicherheitslücke im Internet Explorer. Vermutlich lässt sich die Lücke zum Infizieren eines Rechners ausnutzen, bislang führt der Fehler jedoch nur zum Absturz. Der Grund, weshalb Zalewski von der möglicherweise in chinesischen Kreisen kursierenden Lücke weiß, ist auf eine interessante Verkettung verschiedener Ereignisse zurückzuführen.

Der zu Googles Sicherheitsteam gehörende Zalewski war nach eigenen Angaben bereits vor längerer Zeit auf die Lücke mit seinem Fuzzing-Tool cross_fuzz gestoßen und hatte das Problem Mitte Juli 2010 zunächst nur an Microsoft gemeldet. Daneben hatte Zalewski mit cross_fuzz weitere Browser untersucht und auch dort gefundene Fehler weitergemeldet. Zalewski hatte aus praktischen Erwägungen das Tool und die damit angefertigten Crash-Dumps auf seinem Server für die Entwickler abgelegt – den Link dorthin aber nur den Herstellern mitgeteilt.

Laut Zalewski hatte ein Entwickler den Link aber aus Versehen öffentlich (in einer Fehlerdatenbank) gepostet, sodass Google diesen und spezifische Angaben über die fehlerhaften Funktionen BreakAASpecial und BreakCircularMemoryReferences in mshtml.dll in den Index aufnahm. Ende Dezember bekam Zalewskis Server dann via Google-Suche Besuch aus China, wobei die Referer genau die Suchangaben zu den Funktion enthielten.

Die Besucher stöberten auf Zalewskis Seiten herum, ohne jedoch Interesse am Fuzzing-Tool zu zeigen. Zalewski schließt daraus, dass chinesische Hacker unabhängig von ihm auf die gleiche Lücke gestoßen seien und nun nach weiteren Informationen darüber im Internet suchen würden. Der Sicherheitsdienstleister ZDI hatte bereits Mitte des Jahres darauf hingewiesen, dass er immer häufiger sich überschneidende Entdeckungen unabhängiger Sicherheitsspezialisten bei Schwachstellen registriere, die ihre Informationen an ZDI verkaufen wollen. Das lasse den Schluss zu, dass auch andere (Exploit-Programmierer) bereits Informationen über die Lücken besitzen.

Microsoft konnte einer von Zalewski veröffentlichten Timeline zufolge den Fehler über Monate hinweg nicht rekonstruieren, diese Hürde scheint nun aber überwunden. Wann es einen Patch geben wird, ist derzeit unklar. Mittlerweile hat Zalewski sein Fuzzing-Tool cross_fuzz zum öffentlichen Download bereitgestellt. Damit hat der Browserspezialist zahlreiche Lücken in allen auf WebKit-beruhenden Browsern sowie in Firefox und Opera entdeckt und gemeldet. Mehrere davon sind bereits gestopft.

Cross_Fuzz hat es auf Schwachstellen in Funktionen zur Verarbeitung von Objekten im Document Object Model (DOM) abgesehen. Bereits mit seinem Fuzzing-Skript MangleMe hatte Zalewski 2004 Aufsehen erregt. Damals hielt er den Internet Explorer für den robustesten aller verfügbaren Browser.

(dab)