Erste HintergrĂĽnde zum Flash-Hack beim PWN-to-OWN-Wettbewerb
In einem Interview mit US-amerikanischen Medien hat Shane Macauly zusammen mit Alexander Sotirov einige Details zum Hack des Vista-Notebooks preisgegeben.
Shane Macauly und Alexander Sotirov haben in einem Interview mit US-amerikanischen Medien erste Hintergrundinformationen zum Hack des Notebooks mit Windows Vista SP1 beim PWN-to-OWN-Wettbewerb auf der CanSecWest-Sicherheitskonferenz verraten. Den Hackern zufolge funktioniert der Exploit auch unter Linux und Mac OS X, allerdings seien dafür Anpassungen erforderlich.
Obwohl der Hack eine Sicherheitslücke in Adobes Flash ausnutzt, mussten die Hacker weitere Maßnahmen ergreifen, damit Vista geknackt werden konnte. Die Datenausführungsverhinderung (DEP) von Vista hätte etwa das Einschleusen fremden Programmcodes über sogenanntes Heap-Spraying mit JavaScript verhindert, sodass Macauly mit Hilfe von Sotirov erst einen Umweg um die DEP gehen musste.
Das gelang durch den Einsatz von Java. Offenbar funktioniert Java unter Windows Vista nicht, wenn dafür die DEP aktiviert ist – weshalb sie für Java in der Regel ausgeschaltet ist. Mit einem Java-Applet haben die Hacker dann ausführbaren Speicher angefordert und ihn mit Shellcode befüllt. Es handelt sich laut Sotirov jedoch nicht um einen Fehler in Java, sondern erleichtere den Exploit lediglich. Er habe auch andere Methoden zum Umgehen der DEP auf Lager, die zum Einsatz hätten kommen können.
Nähere Details zum Fehler in Flash selbst nannten Macaulay und Sotirov jedoch nicht, da das gegen die Wettbewerbsbedingungen verstoßen würde. Die Regeln des Wettbewerbs verlangen, dass Details zu den entdeckten Lücken erst dann veröffentlicht werden dürfen, wenn der Hersteller ein Update anbietet, das die Sicherheitslücke schließt. Macauley deutete aber nebulös an, dass der Fehler auf einen Typ zurückgeht, der mit zwei Parametern spezifiziert ist, jedoch drei Parameter akzeptiert. Das Objekt werde dann via dem dritten Parameter aufgerufen, wodurch sich eingeschleuster Programmcode ausführen lasse.
Siehe dazu auch:
- Java plugin triggers Data Execution Prevention (DEP) in 32-bit IE7 on 64-bit Vista, Eintrag in der Fehlerdatenbank von Sun
(dmk)
