Webbrowser: Zwanzig neue Schwachstellen in zwanzig Tagen [2.Update]

Der vom Metasploit-Entwickler H.D. Moore für den Juli verkündete Month of Browser Bugs (MoBB) hat bislang 20 Sicherheitslücken in Webbrowsern zu Tage gefördert. Siebzehn davon stecken im Internet Explorer und jeweils eine in Firefox, Safari und Konqueror. Moore hatte sich Anfang Juli das Ziel gesetzt, jeden Tag einen neuen Fehler zu veröffentlichen.

Während fast alle der siebzehn bislang gefundenen Schwachstellen in Microsofts Browser sich nur für Denial-of-Service-Attacken ausnutzen ließen, soll eine der neuesten Entdeckungen aber das Einschleusen von Schadcode ermöglichen. Zwar beruht die Lücke auf einem Integer Overflow und nicht wie die meisten anderen auf Null-Pointer-Dereferences, ein Beweis der Ausnutzbarkeit steht aber noch aus. Die Demo von H.D. Moore bringt den Internet Explorer nur zum Absturz. Das französische FrSIRT stuft den Fehler dennoch als kritisch ein. Der Fehler findet sich in der Common Controls library comctl32.dll und wird durch bestimmte Aufrufe der Funktion setSlice() zur Darstellung von WebViewFolderIcons provoziert.

Für keinen der von Moore in seinem Blog "Browser Fun - Browser bugs, tricks, and hacks" skizzierten Fehler gibt es bislang einen Patch. [Update: Bei den ersten erklärte Moore noch, er habe Microsoft bereits im März auf die Fehler hingewiesen, bei den neueren fehlt ein solcher Hinweis.] Der Metasploit-Entwickler hat sich in letzter Zeit bereits öfter als Anhänger einer Full-Disclosure-Politik hervorgetan. So war er einer der Ersten, der einen funktionierenden Exploit für die WMF-Lücke entwickelt hat. Auch sein Exploit für die erst kürzlich geschlossene RRAS-Schwachstelle stieß bei Microsoft auf wenig Gegenliebe.

Siehe dazu auch: (dab)

• Browser Fun - bugs, tricks, and hacks, IE-Fehlerberichte von H.D.Moore
• Ein Haufen Risiko - Pufferüberläufe auf dem Heap und wie man sie ausnutzt, Hintergrundartikel auf heise Security
• Metasploit - Exploits für alle, Hintergrundartikel auf heise Security