Diese Woche dreht sich der Standpunkt Sicherheit um geheim gehaltene Schwachstellen: Und die behobenen, die Adobe nicht zugeben möchte, und um nicht behobene, die die Entdecker lieber verkaufen oder anderweitig zu ihrem Vorteil verwerten möchten.
Adobe und die Veröffentlichung von Schwachstellen
Ich habe mir ja schon vor einiger Zeit angewöhnt, in Meldungen rund um Adobes Patchday und veröffentlichten Updates für Adobe-Programme die Anzahl der behobenen Schwachstellen mit einem "mindestens" zu versehen - Adobe hat ja schon öfter Advisories nachträglich angepasst und behobene Schwachstellen quasi "nachgemeldet". Im Fall des außerplanmäßigen Patchdays am 16.2. habe ich darauf verzichtet. Das war evtl. ein Fehler. Offiziell hat Adobe zwei Schwachstellen im Adobe Reader und Acrobat behoben. Mindestens - denn wie Secunia herausgefunden hat, wurde eine Schwachstelle in der verwendeten libtiff behoben, die bereits seit 2006 bekannt ist und unter der CVE-ID CVE-2006-3459 geführt wird. Die wird aber nicht im Security Bulletin aufgeführt: Laut dem wurden die auch im Flash Player behobenen Cross-Domain-Requests (CVE-2010-0186) behoben und dazu
"a critical vulnerability (CVE-2010-0188) [...] that could cause the application to crash and could potentially allow an attacker to take control of the affected system."
Über diese kritische Schwachstelle ist weiter nichts bekannt. CVE-2010-0188 wird nichtssagend mit
"Unspecified vulnerability in Adobe Reader and Acrobat 8.x before 8.2.1 and 9.x before 9.3.1 allows attackers to cause a denial of service (application crash) or possibly execute arbitrary code via unknown vectors."
beschrieben. Für das Ganze fallen mir spontan nur zwei Erklärungen ein, und beide sprechen nicht gerade für Adobe:
- Adobe hat mal wieder nur einen Teil der behobenen Schwachstellen zugegeben, und in Version 9.3.1 wurden außer den im Security Bulletin angegebenen Schwachstellen auch noch mindestens die libtiff-Schwachstelle CVE-2006-3459 behoben, wenn nicht sogar noch mehr. Diese Geheimniskrämerei schadet zwar in Prinzip niemanden, aber ich frage mich doch, wieso manche behobene Schwachstellen veröffentlicht werden und manche nicht - und was man wohl sonst noch alles nicht verrät.
- Adobe hat für die libtiff-Schwachstelle CVE-2006-3459 eine neue CVE-ID verwendet. Das könnte man damit erklären, dass es sich ja um ein anderes Programm handelt, aber da die Ursache die gleiche ist, wäre es überflüssig und würde für mich nach Vertuschung aussehen: Es macht sich doch viel besser, im Februar 2010 eine Schwachstelle mit einer CVE-ID aus 2010 zu beheben als eine mit einer ID aus 2006, oder?
Patchen im Tote-Schnecken-Tempo
Erklärung hin oder her, was viel schlimmer ist: Adobe patcht 2010 eine Schwachstelle, die seit 2006 bekannt ist, und die sich laut Secunia mit einem Exploit für die verwendete libtiff zum Ausführen von Code ausnutzen lässt. Wenn 2010 die libtiff-Schwachstellen aus 2006 im Adobe Reader behoben werden - wann sind denn dann die Schwachstellen aus 2007 bis 2009 an der Reihe? Sind schon alle Schwachstellen aus 2005 und früher behoben? Secunia führt für die libtiff auch etliche bisher nicht behobene Schwachstellen auf - sind die auch im Adobe Reader enthalten und ungepatcht? Sieht fast so aus, als gäbe es da wieder etliche Gründe, die gegen den Einsatz des Adobe Readers sprechen. Vor allem: Ist die Entdeckung von Secunia nicht eigentlich ein gefundenes Fressen für die Cyberkriminellen? Wozu nach neuen Schwachstellen im Adobe Reader suchen, wenn es reicht, alte Schwachstellen in der libtiff auszunutzen? Ich an deren Stelle würde systematisch alle bekannten Exploits für die libtiff in PDF-Dateien packen und testen, was der Adobe Reader damit macht. Die Chancen, damit einen funktionsfähigen Exploit gegen den Adobe Reader zu finden, stehen wahrscheinlich nicht schlecht.
"Details nur gegen Geld"
In Firefox gibt es eine Schwachstelle - oder auch nicht. So ganz genau weiß man das nicht. Laut Evgeny Legerov enthält die Exploit-Sammlung VulnDisco in Version 9.0 einen Exploit für eine Pufferüberlauf-Schwachstelle, über die Evgeny Legerov schreibt
"People who've seen firefox exploit agree with me - it is a really cool bug, it was an interesting challenge to find and exploit it. The exploit needs some work, but it was quite reliable in our testing."
Bei der Mozilla Foundation weiß man nichts über die Schwachstelle und bittet
"As always, if you have information about security issues, please send details to security@mozilla.org."
Und genau da liegt das Problem: Man möchte die Informationen natürlich gerne kostenlos, und genau das lehnt Evgeny Legerov ab. Dass er für seine Arbeit bezahlt werden möchte, ist verständlich. Ob ihm die im Rahmen des Mozilla Security Bug Bounty Program ausgelobten 500 US-Dollar zu wenig sind, ob er das Programm vielleicht gar nicht kennt oder ob er andere Einwände dagegen hat, weiß ich nicht, aber das sollte die Mozilla Foundation recht einfach klären können. Vielleicht hat sie das sogar schon, denn die Meldung, dass der Entdecker der Schwachstelle nicht auf die Mail der Mozilla Foundation geantwortet hat, ist ja schon etwas älter.
Außerdem könnte die Mozilla Foundation die VulnDisco kaufen und dadurch den Exploit bekommen. Wenn man wirklich ein Interesse an der Schwachstelle hat, sollte man zusehen, dass man zügig die nötigen Informationen bekommt. Gehen wir mal davon aus, dass die Schwachstelle existiert - dann kann sie jederzeit auch von einem Cyberkriminellen entdeckt und ausgenutzt werden, wie jeder spätestens seit der 0-Day-Schwachstelle im Internet Explorer wissen sollte, die trotz "responsible disclosure" für die Angriffe auf Google und andere Unternehmen ausgenutzt wurde. Und wie ich schon öfter betont habe: Wenn bekannt ist, dass etwas möglich ist, kommt eher früher als später auch raus, wie es möglich ist. Die Informationen über die Schwachstelle sind spärlich - aber wer wirklich mehr darüber wissen will, kann sich ja die Exploit-Sammlung kaufen. Auch, wenn er Böses im Schilde führt.
"Meine Schwachstelle verrat ich (noch) nicht"
Der im oben schon verlinkten Standpunkt Sicherheit vom 23. März 2009 kommentierte Pwn2own-Wettbewerb auf der Sicherheitskonferenz CanSecWest findet auch dieses Jahr wieder statt. Ziel des Wettbewerbs ist es, aus der Ferne auf Windows- und Mac-Notebooks mit verschiedenen Webbrowsern oder auf Mobiltelefonen Code auszuführen. Während 2009 Safari, Internet Explorer und Firefox bereits am ersten Tag geknackt wurden und in Googles Chrome zumindest eine Schwachstelle gefunden, wenn auch nicht ausgenutzt werden konnte, konnte niemand eines der bereit stehenden Mobiltelefone erobern. Die Regeln sehen dieses Jahr ähnlich wie im Vorjahr aus, Ziel ist die Ausführung von Code ohne oder mit minimaler Benutzerinteraktion.
Letztes Jahr gewann Charlie Miller das MacBook, indem er es in weniger als 2 Minuten erfolgreich angriff - über eine von ihm bereits im Vorjahr entdeckte und bis zum Wettbewerb geheim gehaltene Schwachstelle. Ich bin gespannt, ob es dieses Jahr, auch angesichts der Erfahrungen mit der 0-Day-Schwachstelle im IE, wieder ähnlich verantwortungslose Teilnehmer gibt. Was wäre eigentlich, wenn jemand beim Pwn2own-Wettbewerb eine ihm schon länger bekannte Schwachstelle einsetzt und später raus kommt, dass die bereits von Cyberkriminellen ausgenutzt wurde? Als Opfer würde ich dann vermutlich argumentieren, dass der Entdecker für den Angriff mit verantwortlich ist: Hätte er die Schwachstelle sofort an die Entwickler gemeldet, wäre sie behoben worden und der Angriff nicht möglich gewesen. Zumindest in den USA dürfte dann eine deftige Schadenersatzklage fällig werden...
Links
- "About Security": Die wöchentliche Serie von Carsten Eilers
[http://entwickler.de/zonen/portale/psecom,id,234,nodeid,.html]
