zurück zur Übersicht

Wie sicher ist Ihre Software?

b841f2c6-7b17-4505-9018-88294cd8bd25Experten haben eine Schwachstelle im Firefox Browser gefunden, die es einem möglichen Angreifer ermöglicht, lokale Dateien des Benutzers zu durchsuchen und eventuell herunterzuladen. Dabei wurde eine Lücke in dem integrierten PDF-Viewer von Firefox ausgenutzt. Genau das Konzept “Same-Origin-Policy”, welches in den modernen Browsern vor Cross-Site-Scripting Attacken von anderen Domänen schützt, wurde hier angegriffen.

Würde dieser Mechanismus im Browser nicht existieren – und würde die Webanwendung oder der Webserver keine anderen Sicherheitsmaßnahmen wie CORS(Cross-Origin-Resource-Sharing) zusätzlich benutzen – könnte der Angreifer mittels Javascript von seiner Domäne aus auf die Cookies in anderen Domänen zugreifen.

Was ist in dem konkreten Fall passiert? Der bösartige Code – ein Exploit in Javascript – wurde auf einem russischen Server platziert. Die Rechner von Besuchern der kompromittierten News-Site wurden gezielt nach wichtigen Informationen durchsucht und diese dann auf einen Server, der mutmaßlich in der Ukraine steht, hochgeladen.
Updates auf Firefox 39.0.3 sind bereits verfügbar. Betroffen sind die Benutzer, dessen Firefox PDF-Viewer nutzt, wie Windows.

Es ist vielen IT-Experten bekannt, dass Anwendungen auf ihre Sicherheit geprüft werden sollten. Weniger klar ist, welche Art von Test welche Schwachstellen sucht. In dem obigen Beispiel wäre beispielsweise eine gezielte dynamische Analyse der Anwendung in Kombination mit einem Review des Security Designs einfacher als ein statischer Scan des Quellcodes. Dies zeigt, wie sich verschiedene Scans wie SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) and IAST (Interactive Application Security Testing) gegenseitig ergänzen.

Die Sicherheitsexperten bei iT-CUBE können Ihnen die optimale Kombination von Tests für Ihre Software empfehlen und helfen, die Ergebnisse zu interpretieren. Wir beraten gerne auch, wenn Sie alternative Sicherheitsmaßnahmen für die in Ihrer Produktionsumgebung laufenden Anwendungen suchen.


Links:

http://blog.mozilla.org/security/2015/08/06/firefox-exploit-found-in-the-wild/
http://www.heise.de/security/meldung/Web-Browser-Kritische-Sicherheitsluecke-in-Firefox-geschlossen-2774450.html

Bild: © Fotolia/Sergej Khackimullin

Schreibe einen Kommentar