Apple und Microsoft sollen ihre Lücken selbst finden Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


29.03.2010 Frank Ziemann*

Apple und Microsoft sollen ihre Lücken selbst finden

Der dreimalige Pwn2own-Gewinner Charlie Miller will die von ihm gefundenen Sicherheitslücken in Apple- und Microsoft-Programmen nicht an die Hersteller übergeben. Sie sollen sie selbst finden.

Der Sicherheitsforscher Charlie Miller hat in der letzten Woche zum dritten Mal in Folge ein Preisgeld beim Hacker-Wettbewerb Pwn2own gewonnen. Dieser findet jährlich im Rahmen der Sicherheitskonferenz CanSecWest im kanadischen Vancouver statt. Miller hat noch etliche Safari-Bugs auf Lager, ebenso Bugs in Powerpoint, Adobe Reader und OpenOffice.org. Doch er rückt sie nicht heraus.

Miller ist frustriert über die geringen Fortschritte, die bei der Software-Sicherheit gemacht werden. Der ständige Schweinezyklus Lücke-Patch-Lücke-Patch mache die Programme insgesamt nicht sicherer. Um dieses in seinen Augen sinnfreie Wechselspiel zu durchbrechen, hat Miller in einem Vortrag in Vancouver dargelegt, wie er die Schwachstellen gefunden und ausgenutzt hat. Seine Methode ist an sich wohlbekannt und wird Fuzzing genannt. Ein paar Code-Zeilen reichen Miller, um Programme mit zufälligen, sinnlosen Eingaben zu traktieren, die früher oder später einen Absturz provozieren. Dann gilt es diejenigen Absturzursachen heraus zu filtern, die sich zum Einschleusen von Code ausnutzen lassen. Schließlich muss noch Exploit-Code verfasst werden, der Schutztechniken wie DEP und ASLR umgeht und die Lücke ausnutzt.

Microsoft nutzt Fuzzing seit Jahren im Rahmen seines Security Development Lifecycle (SDL), der Programme bereits während der Entwicklung sicherer machen soll. Doch Charlie Miller findet, es sei viel zu einfach gewesen die Lücken zu entdeckten. Dies habe ihn überrascht und enttäuscht. Apple, Adobe und Microsoft sollten diese Schwachstellen längst selbst gefunden haben. Es könne nicht angehen, so Miller, dass ein einzelner Forscher mit drei Computern die großen Sicherheitsteams mit ihren Rechnerfarmen schlage. Es sei ja nicht so, dass die Hersteller nicht mit Fuzzing arbeiteten, sie machten es nur nicht gut genug. Er hoffe, Apple, Microsoft und Co. hätten gut zugehört und würden es in Zukunft besser machen.

* Frank Ziemann ist Redakteur der deutschen PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr

Hosted by:    Security Monitoring by: