Fangen wir mit den Sicherheitskonferenzen an. Das Folgende ist eine willkürliche und keinesfalls repräsentative Auswahl von Vorträgen aus diesem und dem vergangenen Jahr. Für alle Vorträge war bei Weitem nicht genug Platz, also habe ich die ausgewählt, die mir hier am passendsten erschienen.
SVG – Nicht unbedingt nur eine Grafik
SVG steht zwar für „Scalable Vector Graphic“, ist aber weit mehr als nur ein weiteres Dateiformat für Bilder. SVG ist eine XML-basierte „Programmiersprache“ für Grafiken, und dass darüber auch XSS-Angriffe möglich sind, ist schon seit Langem bekannt. Ein einfaches Beispiel dafür ist das folgende „Bild“:
http://www.w3.org/2000/svg">
Auf der Sicherheitskonferenz Black Hat USA 2014 Anfang August hat Rennie deGraaf eine Reihe weitergehender Angriffe vorgestellt. Der Titel seines Vortrags, „SVG: Exploiting Browsers without Image Parsing Bugs“, macht auch gleich das grundlegende Problem dieser Angriffe deutlich: Es werden keine Fehler oder Schwachstellen ausgenutzt, sondern beabsichtigte Features der SVG-Spezifikation. SVG-Dateien dürfen nämlich HTML-, JavaScript- und CSS-Code enthalten und, dieser Code soll auch ausgewertet werden.