JavaScript und die Sicherheit

Welche neuen Angriffe gibt es und wie kann man sie verhindern?

JavaScript lässt sich für viele schöne Zwecke einsetzen. Und für mindestens genau so viele unschöne. In diesem Artikel geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zum anderen um zwei Möglichkeiten, solchen Angriffen zu begegnen.

Fangen wir mit den Sicherheitskonferenzen an. Das Folgende ist eine willkürliche und keinesfalls repräsentative Auswahl von Vorträgen aus diesem und dem vergangenen Jahr. Für alle Vorträge war bei Weitem nicht genug Platz, also habe ich die ausgewählt, die mir hier am passendsten erschienen.

SVG – Nicht unbedingt nur eine Grafik

SVG steht zwar für „Scalable Vector Graphic“, ist aber weit mehr als nur ein weiteres Dateiformat für Bilder. SVG ist eine XML-basierte „Programmiersprache“ für Grafiken, und dass darüber auch XSS-Angriffe möglich sind, ist schon seit Langem bekannt. Ein einfaches Beispiel dafür ist das folgende „Bild“:

http://www.w3.org/2000/svg">

Auf der Sicherheitskonferenz Black Hat USA 2014 Anfang August hat Rennie deGraaf eine Reihe weitergehender Angriffe vorgestellt. Der Titel seines Vortrags, „SVG: Exploiting Browsers without Image Parsing Bugs“, macht auch gleich das grundlegende Problem dieser Angriffe deutlich: Es werden keine Fehler oder Schwachstellen ausgenutzt, sondern beabsichtigte Features der SVG-Spezifikation. SVG-Dateien dürfen nämlich HTML-, JavaScript- und CSS-Code enthalten und, dieser Code soll auch ausgewertet werden.