Spionagefotos, mal andersherum [2.Update]

Mit der neuartigen GIFAR-Attacke soll es möglich sein, Besuchern von populären Seiten wie Facebook, MySpace, Xing und eBay bösartige Java-Applets unterzuschieben. Bei der von Billy Rios, Rob Carter und John Heasman entwickelten Methode wird einfach ein GIF-Bild mit einer Klassen-Datei für Java (JAR) kombiniert (GIF + JAR = GIFAR). Ruft der Anwender ein solches Bild auf, so wird nicht nur das Bild angezeigt, sondern die Java Virtual Machine (JVM) führt auch noch das eingebettete Applet im Kontext der aufgerufenen Seite aus. Schafft der Angreifer es, einen Besucher auf sein Profil zu locken, so kann er damit unter anderem das Konto seines Opfers manipulieren oder dessen Daten ausspionieren. Zuvor muss sich das Opfer aber in sein eigenes Konto eingeloggt haben.

Mit diesem Trick lassen sich die Filter vieler Webseiten umgehen, die mit diversen Methoden versuchen, das Hochladen aktiver Inhalte zum Schutz ihrer Besucher zu verhindern. Üblicherweise filtern die Server etwa JavaScript aus Profilen aus oder blockieren das Hochladen oder Einbetten von Skripten in Seiten. Das Hochladen von Bildern ins eigene Profil oder etwa Auktionen sperrt jedoch keine Seite. Man muss sie nur davon überzeugen, dass es sich um ein gültiges Bild handelt. Prinzipiell soll sich jede Web-Seite missbrauchen lassen, bei denen ein Upload von Bildern erlaubt ist.

Nähere Details wollen die drei Sicherheitsspezialisten erst auf der Black Hat vorlegen. Nach ihren Angaben sieht es zwar auf den ersten Blick so aus, als wäre Suns JVM schuld an dem Problem. Ihrer Meinung nach seien aber Web-Anwendungen schuld, die sich allein auf die Endung der Datei verlassen würden, ob eine Datei erlaubt sei. Dennoch soll Sun bereits an einem Interims-Patch arbeiten, der Webseiten-Betreiber nach der Veröffentlichung der Details Zeit geben soll, den Fehler aus ihren Seiten zu entfernen. Grundsätzlich soll der Angriff auch mit JPEG+JAR oder DOC-JAR möglich sein.

[Update] Die Portale studiVZ, schuelerVZ und meinVZ sollen von dem Problem nicht betroffen sein, da nach Angaben von Nils Jünemann von StudiVZ in hochgeladene JPG-, GIF- und PNG-Dateien die Header auf Korrektheit überprüft und die Bilder anschließend in verschiedene Größen konvertiert werden.

[2.Update] Nach Angaben von Frank Schuster von XING werden alle hochgeladenen Benutzerbilder nach JPEG, alle Forenlogos nach PNG umgewandelt. Der Server soll sich dabei nicht nach der Dateiendung, sondern nach den Headern der Files richten. "Beim Umwandeln würde ein JAR-File nicht als gültiges Bild erkannt und deshalb abgelehnt.", schreibt Schuster in einen Thread zu dem Problem.

Siehe dazu auch:

• Black Hat Sneak Preview, Blogeintrag von Nate McFeters

(dab)