Neue Browser-Lücken mittels Fuzzing entdeckt

Ein Google-Sicherheitsforscher hat ein Fuzzing-Programm veröffentlicht, mit dem er Sicherheitslücken in gängigen Web-Programmen entdeckt hat. Darunter ist auch eine im Dezember von Chinesen publizierte Schwachstelle im Internet Explorer.

Der polnische Sicherheitsforscher Michal Zalewski hat sein Fuzzing-Tool »Cross Fuzz« für Jedermann zum Download bereitgestellt. Damit hat der für Google tätige IT-Spezialist bekannte Browser wie Firefox, Opera und Internet Explorer auf bislang unentdeckte Schwachstellen untersucht und ist nach eigenen Angaben fündig geworden. Auch die Webkit-basierten Browser, etwa Safari oder Chrome, haben Schwächen gezeigt.

Fuzzing ist eine sehr beliebte Methode zum Aufspüren neuer Sicherheitslücken. Dazu werden dem zu prüfenden Programm massenhaft ungewöhnliche Daten übergeben, mit denen es dann klar kommen muss. Stürzt es dabei ab, wird genauer untersucht, ob sich die Schwachstelle ausnutzen lässt, um Code einzuschleusen und auszuführen. Ein typisches Beispiel sind übermäßig lange Zeichenketten, die zum Überlaufen eines Puffers führen können, wodurch anderweitig benutzte Speicherbereiche überschrieben werden. Zalewski hatte sein Tool sowie einige Ergebnisse bereits im Juli 2010 an Browser-Hersteller wie Microsoft, Opera und Mozilla geschickt. Einige gemeldeten Lücken in Firefox und Opera wurden in der Zwischenzeit durch Updates behoben. Microsoft habe, so Zalewski in seinem Blog, zwar den Erhalt der Mitteilung bestätigt, jedoch bis Dezember nicht weiter reagiert.

Die Ankündigung sein Fuzzing-Tool veröffentlichen zu wollen, hat dann doch eine Reaktion seitens Microsoft provoziert. Man bat Zalewski mit der Veröffentlichung noch unbestimmte Zeit zu warten. Dieser hat unterdessen festgestellt, dass eine von Chinesen veröffentlichte IE-Lücke, vor der Microsoft in seiner Sicherheitsmitteilung 2488013 warnt, identisch mit einer von ihm entdeckten Schwachstelle ist. Daraus folgt laut Zalewski, dass Informationen über mindestens eine noch nicht behobene, kritische Sicherheitslücke in den Händen "Dritter" sind, wie er es ausdrückt. Daher hat Michal Zalewski die Dezember-Version von cross_fuzz nun ins Netz gestellt, was bei Microsoft wenig Begeisterung ausgelöst hat.

Lesen Sie mehr zum Thema

Weitere Artikel zu Microsoft GmbH

Blockade von E-Mail-Konten

Microsoft will keine Konten mehr sperren

Stärkung des MSP-Geschäfts

Proofpoint übernimmt Hornetsecurity

Microsoft 365 und Cloud-Apps

Indeno übernimmt Vertrieb und Betrieb der Eperi-Plattform

Alle Regionen und Ebenen betroffen

Microsoft streicht Tausende Arbeitsplätze

Microsoft Power Women Awards 2025

Vorjahresgewinnerin Hanke: „Auf geht's!“

Weitere Artikel zu Mozilla

Killt KI die Google-Suche?

Apple-Manager schickt Google-Aktie auf Talfahrt

Dell Lifecycle Hub kommt nach Deutschland​

PC-Lifecycle-Management als Service

Adaptiva stellt Autonomous Patch vor

Vollständig automatisiertes Patching

Label oft falsch oder irreführend

Datenschutz-Diskrepanz bei den Top-Apps im Google Play Store

Akutelles Release von Baramundis Management-Suite

UEM im Zeichen der Usability