Lücke in Safari beendet "Month of the Browser Bug"
Die letzte im Rahmen des MoBB veröffentlichte Lücke beschreibt eine kritische Lücke in Safari. Moore stellt zudem sein Fuzzing-Tool AxMan zum Finden von Lücken in ActiveX-Controls zum Download bereit.
- Daniel Bachfeld
Mit einer Sicherheitslücke in Apples Safari schließt H. D. Moore seinen Month of the Browser Bug (MoBB) ab. Zwar beruht auch diese Lücke auf einer Null-Pointer-Dereference, im Unterschied zu den meisten anderen Lücken des MoBB soll sich darüber aber Code einschleusen und ausführen lassen. Dies zu beweisen, würde laut Moore allerdings einen sorgfältig programmierten Exploit erfordern – wofür ihm offenbar die Zeit fehlt. Daher stellt er nur eine Demo bereit, die Safari auf einem voll gepatchten Mac OS X 10.4.x (PPC) zum Absturz bringt.
Der französische FrSIRT schätzt die Lücke als kritisch ein, allerdings sind die Autoren dabei manchmal etwas voreilig. So stuften sie schon letzte Woche die Bewertung einer Lücke in Opera von "kritisch" auf "niedriges Risiko" zurück. Obwohl Safari ein Ableger des Open-Source-Browsers Konqueror ist, soll dieser nicht von dem Problem betroffen sein. Ursache des Problems ist die fehlerhafte Verarbeitung eines Skriptelementes in der Funktion KHTMLParser::popOneBlock().
Zwar ist das MoBB-Projekt nach den versprochenen 31 veröffentlichten Lücken nun beendet, Moore will das eigens dafür gestartete Blog aber weiter betreiben, um auch zukünftig über Lücken in Browsern zu berichten. Schützenhilfe geben ihm dabei weitere Mitglieder der Security-Community. Damit der Stein am Rollen bleibt, hat der Metasploit-Entwickler sein ActiveX-Fuzzing-Tool AxMan zum Download bereitgestellt. Beim Fuzzing erzeugen spezielle Tools fehlerhafte Daten und füttern eine Anwendung so lange, bis ein Fehler auftritt. Anschließend wird dieser Fehlerfall mit einem Debugger genauer unter die Lupe genommen, um zu sehen, worauf er zurückzuführen ist und ob er sich irgendwie missbrauchen lässt.
Alle von Moore gemeldeten Lücken in ActiveX-Controls des Internet Explorer sollen mit AxMan gefunden und analysiert worden sein. Zudem will er damit über hundert weitere Schwachstellen in Produkten von Drittherstellern entdeckt haben. Einzelheiten darüber will Moore aber zunächst nicht veröffentlichen, um den Herstellern etwas Zeit zu geben – ein außergewöhnlicher Zug von ihm, da er sonst ohne Rückfrage Informationen über Lücken sofort veröffentlicht. Eine Online-Demo von AxMan steht ebenfalls zum Probieren bereit.
Siehe dazu auch: (dab)
- MoBB #31: Safari KHTMLParser::popOneBlock, Blogeintrag von H. D. Moore
