Neue Bedrohung durch "Clickjacking"?
Zwei Sicherheitsexperten haben ihren Vortrag auf einer Security-Konferenz über Lücken in Web-Browsern und Websites zurückgezogen und damit die Gerüchteküche zum Brodeln gebracht.
- Christiane Rütten
Sicherheitsexperten haben einen Vortrag auf der OWASP-Konferenz zu kritischen Sicherheitslücken in einer Reihe von Internet-Browsern und in Websites zurückgezogen und mit ihrer Begründung für einige Aufregung in der Security-Gemeinde gesorgt. In einem Blog rechtfertigt einer der beiden Vortragenden, Robert "RSnake" Hansen, den Schritt damit, dass die entdeckten Schwachstellen derart schlimm seien, dass sie vor der Veröffentlichung einer Absprache mit den betroffenen Herstellern bedürfen ("responsible disclosure").
Der Vortrag, an dem Hansen zusammen mit Jeremiah Grossman arbeitet, trägt den klingenden Namen "Clickjacking". Nach Hansens und Grossmans Schilderungen ermöglicht eine Kombination der entdeckten Schwachstellen einem Angreifer, den Anwender anstelle legitimer Links "auf etwas kaum oder nur sehr kurz Sichtbares" klicken zu lassen. Eine solche Schwachstelle wäre ein gefundenes Fressen für Phisher und Sprungbrett für eine Reihe weiterer Angriffe. Eines der Probleme beträfe auch "Websites im Allgemeinen", wie Grossman schreibt. Weil man aber nicht warten wolle, bis jeder Webmaster ein Update eingespielt habe, strebe man zum Schutz der Anwender eine Lösung in den Browsern an. Das Problem "Clickjacking" sei eigentlich hinreichend bekannt, aber unterbewertet.
Zunächst hatte es in einer offiziellen Ankündigung der Konferenzveranstalter geheißen, der Vortrag sei "unterdrückt" worden. Auch die Formulierung in Grossmans Blog, die Verschiebung sei auf Herstellerwunsch erfolgt ("postponed by vendor request") weckte eher unangenehme Erinnerungen an Ereignisse wie den Fall Cisco vs. Michael Lynn. 2005 war der Hardware-Riese rechtlich gegen einen BlackHat-Vortrag vorgegangen, der sein hauseigenes Router-Betriebssystem IOS betraf. Doch Hansen widerspricht ausdrücklich dieser Darstellung. Die Zurückziehung sei die eigene Entscheidung gewesen.
Hansen und Grossmann stehen nach eigenen Angaben bereits mit Branchengrößen wie Microsoft – auch der IE8 soll betroffen sein – und Adobe zur Lösung des Problems in Verbindung. Adobe selbst hat in einem Konzernblog eingeräumt, dass eines seiner Produkte betroffen ist und man an einer Lösung arbeite. Die beiden Vortragenden sind in der Szene keine Unbekannten: So entdeckten sie unter anderem im vergangenen Jahr eine Schwachstelle in Firefox, die Angreifern das Auslesen der Web-History des Anwenders erlaubte. Hansen schrieb außerdem zu Jahresbeginn einen Wettbewerb um den kürzesten XSS-Wurm aus.
Siehe dazu auch:
- Clickjacking, Blog-Beitrag von Robert Hansen
- (Cancelled) / Clickjacking - OWASP AppSec Talk, Blog-Beitrag von Jeremiah Grossman
(cr)
