Finjan fordert neues Sicherheitsmodell für beliebte Add-ons
Vorsicht bei Widgets und Gadgets geboten
Finjans Malicious Code Research Center (MCRC) hat Sicherheitslücken in Widgets und Gadgets entdeckt. Bei diesen Softwaregruppen handelt es sich um funktionale Add-ons für Webseiten oder die Benutzeroberflächen von PCs, die man beispielsweise bei Google und einer Reihe weiterer Anbieter herunterladen kann: Uhren, grafische Effekte, Übersetzungs-Tools, Nachrichtenticker und vieles mehr.
Finjan schreibt im Web Security Trends Report Q3/2007, dass die scheinbar harmlosen Ergänzungen die Computer der Anweder einer ganzen Reihe von Angriffen aussetzen können: Manche der Add-ons enthalten leicht angreifbaren Code, den Hacker und Kriminelle für ihre Zwecke nutzen. Die Untersuchungen von Finjan haben gezeigt, dass für Widgets und Gadgets ein neues Sicherheitsmodell erarbeitet werden sollte, um die Anwender vor den entsprechenden Angriffen zu schützen. Alle Arten von Widget-Umgebungen (Betriebssysteme, Anwendungen und Web) weisen bisher inadäquate Sicherheitsmodelle auf, die es erlauben, auch bösartige Add-ons laufen zu lassen.
Die Gefahr ist nicht mehr nur rein theoretisch gegeben: Finjan hat bereits erhältliche Widgets gefunden, die – zum Teil in der Default-Konfiguration – angreifbar sind. Microsoft und Yahoo sahen sich bereits veranlasst, Sicherheitshinweise und Patches herauszugeben und eine Überarbeitung des Sicherheitsmodells in Angriff zu nehmen, das derzeit für online gehostete und in Betriebssysteme integrierte Widgets benutzt wird.
"In dem Maße, in dem sich Widgets in den meisten modernen Computerumgebungen durchsetzen – von Betriebssystemen bis hin zu Webportalen – steigt ihre Bedeutung, die ihre Existenz für die Sicherheit hat", erklärt Yuval Ben-Itzhak, CTO bei Finjan.
Angesichts der Tatsache, dass beliebte Portale wie Igoogle, Live.com und Yahoo allesamt individualisierte Portale mit Widgets anbieten, wird die wachsende Popularität der aktiven Seitenelemente dazu führen, dass die Widgets in Zukunft noch häufiger als bisher für Angriffe zum Einsatz kommen werden. Bis eine adäquate Sicherheitsstrategie gefunden ist, sollten die Anwender beim Download der Add-ons die gleiche Vorsicht walten lassen wie beim Download und der Installation größerer Anwendungen.
3720 Widgets und Gadgets stehen derzeit auf Google.com zum Download bereit, 3197 auf Apple.com und 3959 auf Facebook.com. Viele dieser Anwendungen werden laut Igoogle schon von Millionen von Anwendern benutzt.
Die folgenden genannten Sicherheitslücken wurden bereits geschlossen, nachdem Finjan die Hersteller diskret informiert hatte:
* Das Windows-Vista-Betriebssystem wird mit einem vorinstallierten Sidebar ausgeliefert, die als Grundelement in allen Varianten des Systems existiert. Ein paar der darin enthaltenen Widgets können direkt nach der Installation genutzt werden. Eines davon ist das Contacts-Widget, das einen einfachen Zugriff auf den in Vista enthaltenen Speicher für Kontakte erlaubt. Finjan-Mitarbeiter haben im Contacts-Widget eine Sicherheitslücke gefunden, die es einem Angreifer erlaubte, beliebigen Code auf der Maschine des Opfers laufen zu lassen. Dazu wird ein nicht standardgemäß geformtes Kontaktdetailobjekt eingeschleust, das einwandfrei funktioniert und einen komplett unverdächtigen Eindruck macht. Dieses Objekt muss nur angezeigt werden, damit der darüber eingeschleuste Code ausgeführt wird, ganz ohne weitere Aktivität des Anwenders oder Überprüfung des Codes.
* Live.com, das neue Portal von Microsoft, ist durch den Anwender personalisierbar, damit es die Überschriften aktueller Meldungen (RSS Feed), eine kurze Zusammenfassung des Hotmail-Postfachs oder etwa den lokalen Wetterberichtanzeigt. Der Live.com-RSS-Reader enthielt eine Sicherheitslücke, die es einem Angreifer erlaubte, privilegierte Informationen aus dem Konto des angegriffenen Anwenders zu lesen. Dabei übernahm das Angriffs-Tool die Rolle des legitimen Anwenders und die Kontrolle über dessen Browser. Die Verwundbarkeit resultierte aus der Verarbeitung ungefilteter RSS-Feeds, die Skripting-Befehle enthalten konnten.
* Yahoo liefert eine Widget-Engine, mit der bei einer Reihe von Betriebssystemen, die dies nicht von Haus aus unterstützen, die Widget-Funktionalität nachgerüstbar ist. Das Contacts-Widget, das in der Engine enthalten war, erlaubte ebenfalls die Ausführung beliebigen Codes durch Ausnutzung präparierter Kontaktinformationen.
LANline/wj
Lesen Sie mehr zum Thema
