Noch einmal ist die die 0-Day-Schwachstelle im Firefox Thema des Standpunkt Sicherheit, außerdem geht es um die Webbrowser in Smartphones.

Firfox-0-Day, zum dritten Mal

Aller guten Dinge sind bekanntlich Drei. Aber auch weniger gute Dinge kommen ja oft mehrmals. Wie auch immer man es in diesem Fall einstuft: Es ist nach den Ausgaben vom 1. und 15. März der dritte Standpunkt Sicherheit, der sich mit der aktuellen 0-Day-Schwachstelle im Firefox beschäftigt. Inzwischen hat sich der Entdecker der Schwachstelle mit der Mozilla Foundation in Verbindung gesetzt, so dass die Entwickler die Schachstelle analysieren und bereits beheben konnten: Die aktuelle Beta-Version enthält den Patch bereits, der auch in der für den 30. März angekündigten Version 3.6.2 enthalten ist. Soweit, so gut. Oder vielleicht: So schlecht?

Böse Erinnerungen

Erinnert sich noch irgend jemand an die "gute alte Zeit" vor 3-4 Jahren? Stichwort "Exploit-Wednesday" (oder auch "Exploit-Thursday")? Als die Cyberkriminellen die von Microsoft am Patchday veröffentlichten Patches analysiert und am nächsten oder übernächsten Tag die frisch behobenen Schwachstellen mit den ersten Exploits ausnutzten? Außerdem gab es Forschungen, die sich mit der automatischen Entwicklung von Exploits auf Grundlage veröffentlichter Patches beschäftigten. Das ist auch schon einige Zeit her, der Bericht ist von Anfang 2008. Inzwischen sollte die Technik ausgereift sein, oder? Warum ich das hier alles schreibe? Nun, beim "Exploit-Wednesday" hatten wir den Fall, dass die Patches bereits bereit standen und zumindest teilweise installiert waren, bevor der Exploit veröffentlicht wurde. Und was haben wir jetzt? Einen Patch, sogar in Sourcecode-Form, auf dem die Cyberkriminellen aufbauen können - und der erst in 1 1/2 Wochen veröffentlicht wird. Toll, oder? Jedenfalls für die Cyberkriminellen. Die Frage ist nur, ob sich für die die Entwicklung eines Exploits lohnt, da der Firefox ja durch die integrierte Updatefunktion meist recht zügig aktualisiert wird. Andererseits wird die gerade in Unternehmen ja mitunter ausgeschaltet, so dass vielleicht doch noch für einige Zeit genug potentielle Opfer mit einem angreifbaren Firefox surfen. Im ersten Moment hielt ich die Warnung des BSI vor dem Firefox für etwas übertrieben, aber je länger ich darüber nachdenke - so ganz unrecht haben die nicht. Unter Umständen hat die Mozilla Foundation da einen ziemlichen Bock geschossen. Normalerweise wird Wert darauf gelegt, die (möglichen) Schwachstellen bis zur Behebung vertraulich zu behandeln, und hier wurde eine bestätigte Schwachstelle vor der Veröffentlichung des Patches veröffentlicht. Wollen wir mal hoffen, dass die Cyberkriminellen noch genug funktionierende IE- und Adobe-Reader-Exploits haben und die Firefox-Schwachstelle ignorieren. Und wenn nicht... so langsam gehen uns dann die alternativen Webbrowser aus: 0-Day-Schwachstellen im IE 6 und 7 und in Opera gibt es schon, da bleiben von den großen Browsern für Windows-Nutzer ja eigentlich nur noch Apples Safari und Googles Chrome übrig. Wenn jetzt noch eine 0-Day-Schwachstelle im von beiden genutzten Webkit gefunden wird, siehts düster aus.

Jetzt ein etwas anderes Thema: Von Webbrowsern auf Desktop-Rechnern, die man leicht austauschen kann, zu den nur schwer zu tauschenden Webbrowsern auf Smartphones.

Smartphones im Visier?

Die Bedeutung der "Immer und überall dabei"-Rechner hat in letzter Zeit stark zugenommen und wird weiter zunehmen, man denke nur an das iPad und die unweigerlich kommenden Konkurrenzprodukte. Je mehr mit den Smartphones etc. im Web gesurft bzw. online gearbeitet wird, desto mehr Daten werden darauf gespeichert bzw. verarbeitet - Daten, die auch für die Cyberkriminellen interessant sind. Eher früher als später werden sich die Zugangsdaten sammelnden Schädlinge gezwungenermaßen auf die Smartphones umsiedeln müssen, einfach weil die entsprechenden Daten nicht mehr auf dem PC, sondern auf dem Smartphone zu finden sind.

Drive-by-Infektion goes mobil

Das man auf Smartphones über präparierte Anwendungen Schädlinge installieren kann, ist bekannt. Aber für diese klassischen Trojaner braucht man die Mithilfe des Benutzers. Warum sollten die Cyberkriminellen ihre Schadsoftware stattdessen nicht einfach durch Drive-by-Infektionen verbreiten, eine Taktik, die sich bei Windows-Rechnern bewährt hat? Auf infizierten Websites ein paar weitere Abfragen einzubauen und ggf. Exploits für Smartphones auszuliefern, wäre kein Problem. Wie sieht es denn mit der Sicherheit der Smartphones aus, wenn im verwendeten Webbrowser eine kritische Schachstelle gefunden wird? Natürlich braucht man eher früher als später auch auf dem Smartphone Virenscanner, aber besser ist es, Schwachstellen zu schließen oder, wenn das nicht möglich ist, ein anderes Programm zu verwenden. Wie sieht es also mit Alternativen für die Webbrowser aus? Nehmen wir mal als Beispiel das iPhone. Das wird nach Meinung von Charlie Miller und Aaron Portnoy sehr wahrscheinlich beim Pwn2Own-Wettbewerb auf der CanSecWest geknackt, vermutlich über eine Schwachstelle in Safari.

Alternativen Fehlanzeige

Bisher gab es keine ernsthaften Angriffe über Browser-Schwachstellen in Smartphones, aber gehen wir mal davon aus, dass es eine 0-Day-Schwachstelle in Safari gibt, die für Drive-by-Infektionen ausgenutzt wird. Was nun? Mal eben einen anderen Browser installieren scheitert schon daran, dass es eigentlich keine Alternativen gibt: Apple erlaubt bisher nur Browser, die auf der auch von Safari verwendeten Version der Browser-Engine Webkit basieren. Sehr wahrscheinlich wird eine Schwachstelle in Safari aber in Webkit stecken - und damit auch in den anderen Browsern. So gut Apples strikte Kontrolle der auf dem iPhone laufenden Programme aus Sicherheitssicht ist, wenn es um klassische Trojaner geht - in diesem Fall ist sie ein Nachteil. Ähnlich sieht es aber auch bei anderen Smartphones aus: Alternativen gibt es kaum. Was das Ganze für die Cyberkriminellen nur einfacher macht: Egal wie groß nun der Marktanteil des einen oder anderen Browsers unter Windows ist - es gibt zumindest mehr als einen Browser (wenn auch nur einen Adobe Reader), mit dem sich die Cyberkriminellen auseinander setzen müssen. Beim iPhone gilt dagegen vermutlich "One Webkit-Exploit fits all", und entsprechendes dürfte auch für die meisten anderen Smartphones gelten. Da dürften interessante Zeiten auf uns zukommen.