Die Bösen bevorzugen Firefox und Opera

Nach einer sicher nicht repräsentativen Statistik benutzt sogar jeder vierte Administrator von Web-Seiten, die Browser-Exploits beherbergen, den Außenseiter Opera.

In Pocket speichern vorlesen Druckansicht 205 Kommentare lesen
Lesezeit: 2 Min.

Paul Royal von der Security-Firma Purewire analysierte, welche Browser die Administratoren von Exploit-Web-Sites selbst benutzen. Es ging dabei also um die Vorlieben derjenigen, die ganz gezielt Sicherheitslücken in Browsern für ihre üblen Zwecke ausnutzen. Dass Firefox mit 46 Prozent der meistverwendete Browser war, dürfte Heise-Leser kaum überraschen, liegen doch auf heise online die Mozilla-Abkömmlinge bereits bei über 60 Prozent. Die Überraschung ist vielmehr, dass Opera, dessen Anteil am weltweiten Browsermarkt um die 3 Prozent liegt, von rund 26 Prozent der Exploit-Admins eingesetzt wird. Selbst unter den Heise-Lesern fristet der Browser aus Skandinavien mit rund 8 Prozent ein Nischendasein.

Die Statistiken sind allerdings nicht sonderlich repräsentativ, stellt sich bei näherer Betrachtung doch heraus, dass Royal seine Daten von nur 15 verschiedenen Sites bezogen hat. Doch interessanter als die Ergebnisse ist Royals Analyse-Methode. Er baute JavaScript-Code in die Daten ein, die der Browser beim Aufruf einer Seite an den Web-Server übermittelt. Ist die Applikation zum Anzeigen der Website-Statistiken nicht vorsichtig genug, das auszufiltern, bettet sie diesen Code einfach ein. Ruft der Admin dann die Statistik seiner Site ab, führt sein Browser den Code aus. Royal suchte gezielt Sites mit den Exploit-Baukästen LuckySploit und UniquePack auf, die offenbar die Referer auswerten, aber nicht ausreichend filtern. Daraufhin übermittelten deren Admins unfreiwillig einige Daten an Royals Server.

Dieses Sicherheitsproblem wird seit einigen Jahren diskutiert. Man bezeichnet es als persistentes Cross Site Scripting (XSS), weil der JavaScript-Code auf dem Server gespeichert wird. Gelingt es, den Code in Log-Files einzuschleusen, ist das besonders gefährlich, da man auf diesem Weg Code im Sicherheitskontext des Administrators ausführen und eventuell sogar dessen Authentifizierungs-Cookies klauen kann.

Heise-Leser kamen übrigens sehr früh auf ähnliche Ideen. In den aggregierten Browserstatistiken für heise online hinterließ im April 2001 – also bereits vor 8 Jahren – ein Leser folgende Browser-Kennung:

Mozilla/4.0 (compatible; MSIE 5.5) <script>alert('hi you');</script>

(ju)