Wenig überraschend: 0-Day-Schwachstellen in Webbrowsern und deren Veröffentlichung sind das Thema dieses Standpunkt Sicherheit.

IE-0-Day zum ersten, zum zweiten, ...

Eine 0-Day-Schwachstelle im Internet Explorer. Was für eine Überraschung, sowas hatten wir ja lange nicht mehr - die letzte ist immerhin schon fast 2 Monate her (veröffentlicht wurde sie am 14.1.). Und beide haben vieles gemeinsam: Beide wurden von Microsoft (1., 2.) gemeldet, beide wurden zuerst für gezielte Angriffe ausgenutzt, bei beiden wurde kurz nach Microsofts Warnung vor der Schwachstelle der Exploit-Code veröffentlicht (1., 2.). Bis hierhin gleichen sich die Schwachstellen, die Unterschiede liegen (noch) in der Reaktionszeit von Microsoft: Die erste Schwachstelle wurde von Microsoft recht zügig behoben - die Patches wurden außerplanmäßig am 21. Januar behoben. Die kurze Patchzeit von nur 7 Tagen kam aber nur zustande, weil Microsoft die Schwachstelle bereits Anfang September 2009 vertraulich gemeldet worden war. Der Patch was fast fertig und wäre ohne die Angriffe über die Schwachstelle sowieso am nächsten regulären Patchday, dem 9. Februar, veröffentlicht worden. Ob Microsoft die aktuelle Schwachstelle ebenfalls schon länger bekannt ist, ist nicht bekannt. Der Patch ist allerdings bereits fertig und wird zur Zeit getestet. Das kann allerdings einige Zeit dauern, da er mit allen betroffenen Versionen des IE für alle noch unterstützten Windows-Versionen für alle verfügbaren Sprachen getestet werden muss. Außerdem testet Microsoft ihn in Hinblick auf die Kompatibilität mit 'thousands of third party applications'. Und dabei wird Microsoft nach den Problemen mit dem Patch zum Bulletin MS10-015 sehr gründlich sein, man möchte bestimmt nicht schon wieder einen Patch veröffentlichen, der auf manchen Systemen zu einem Blue Screen auf Death führt. Auch wenn Microsoft dafür wenig kann - warum sollten sie einen Patch auch auf seine Verträglichkeit mit einem Rootkit testen? Immerhin haben die Cyberkriminellen schneller reagiert als Microsoft und ihren Schädling angepasst, während Microsoft nur prüft, ob ein System mit dem Rootkit infiziert ist und ggf. auf die Installation der Patches verzichtet. OK, das ist etwas fies, schließlich ist es nicht Microsofts Aufgabe, den Rechner zu reinigen. Das muss dann schon dessen Benutzer bzw. der zuständige Admin erledigen. Wer sich das Rootkit einfängt, darf es auch wieder ausrotten.

Lumpen, Alteisen, IE6, ...

Aber kommen wir zurück zur Schwachstelle. Die aktuelle betrifft nur den IE 6 und 7, während bei der vorherigen zumindest theoretisch auch der IE 8 betroffen war. Allerdings wurde dafür kein funktionsfähiger Exploit entwickelt. Logische Schlussfolgerung: Es ist höchste Zeit, zumindest den IE 6 auf dem Schutthaufen veralteter Programme zu entsorgen und durch einen aktuellen Browser zu ersetzen. Muss es der Internet Explorer sein, so ist Version 8 die erste Wahl, kommen auch andere Browser in Betracht, kommt Microsofts Webbrowser-Auswahlmenü gerade zum richtigen Zeitpunkt. Das Menü verweist auf browserchoice.eu, wo 12 Browser zur Auswahl stehen. Eine aus Sicherheitssicht unglückliche Wahl wäre allerdings Opera, in dem es zur Zeit ebenfalls eine offene Schwachstelle gibt, die das Ausführen von Code erlaubt.

Kleine Nebenbemerkung: Microsoft stellt für die Workarounds seit einiger Zeit, sofern möglich, Online-Tools bereit, die z.B. notwendige Änderungen an der Registry vornehmen. Wann wohl die ersten Cyberkriminellen auf diesen Zug aufspringen und Benutzer auf nachgemachte Seiten locken, um ihnen dort Schadsoftware unter zu schieben? Vielleicht sogar über die Schwachstelle, die das Tool dann angeblich korrigieren soll?

Firefox - 0-Day oder nicht 0-Day?

Browser und Schwachstellen - das sind auch die Stichworte für den zweiten Teil dieses Standpunkts, der eigentlich eine Fortsetzung der Ausgabe von vor 2 Wochen ist: Am 1. März schrieb ich bereits über die Schwachstelle in Firefox, von der die Mozilla Foundation nichts weiß. Der Entdecker der Schwachstelle hat dazu anscheinend in einem Blogbeitrag Stellung genommen - nur ist das Blog nun nicht mehr erreichbar. Die Website des Entdeckers ist noch online, enthält aber keine Informationen über die Schwachstelle, während im Forum von Immunity, in dem die Schwachstelle angekündigt wurde, die Funktionsfähigkeit des Exploits bestritten wird. Eine äußerst unbefriedigende Situation, insbesondere nachdem die Januar-0-Day-Schwachstelle im IE ja eindrucksvoll bewiesen hat, dass auch eine vertraulich an die Entwickler gemeldete Schwachstelle jederzeit unabhängig davon von Kriminellen entdeckt und ausgenutzt werden kann. Wie sieht es dann erst mit einer Schwachstelle aus, die zumindest einigen Personen bekannt ist?

Ach ja: Inzwischen gibt es immerhin eine zusätzliche Information zur Firefox-Schwachstelle: Laut 'TransMutator', der die Exploit-Sammlung gekauft und den Exploit erfolglos getestet hat, tritt der Fehler auf, wenn "firefox tries to (specially? - did not test something else but the one example code) load a malformed PNG file". Wie viele Cyberkriminelle inzwischen wohl schon versuchen, den Firefox mit einem Fuzzer für PNG-Bilder zum Absturz zu bringen, um Hinweise auf die Schwachstelle zu erhalten?