Kein Exploit-Schutz

Software-Hersteller ignorieren Windows-Schutzmechanismen

Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Ein Sicherheitsunternehmen hat untersucht, welche populären Programme die modernen Sicherheitsmechanismen von Windows einsetzen. Die Trefferquote ist noch immer recht gering.

Ein Sicherheitsunternehmen hat untersucht, welche populären Programme die modernen Sicherheitsmechanismen von Windows einsetzen. Die Trefferquote ist noch immer recht gering.

Aktuelle Windows-Versionen enthalten Vorkehrungen, um einem Hacker die Ausnutzung typischer Sicherheitslücken in Programmen zu erschweren. Dazu zählen etwa DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization). Jedes Programm könnte sie nutzen, doch nur wenige tun es.

Das dänische Sicherheitsunternehmen Secunia hat kürzlich 16 der populärsten Windows-Programme daraufhin untersucht, ob sie DEP und ASLR verwenden. Die Secunia-Forscher haben nur Programme ausgewählt, die nicht von Microsoft stammen, und für die in den letzten zwei Jahren mindestens eine Sicherheitslücke bekannt geworden ist, die auf Speicherüberläufen basiert. Deren Ausnutzung ermöglicht einem Angreifer Code einzuschleusen und auszuführen. Unter den Kandidaten sind Adobe Reader, Flash Player, Quicktime, VLC Player, Firefox, Chrome, Safari und OpenOffice.org.

Die Ergebnisse der Secunia-Forscher sind ernüchternd. Die meisten der Programme haben DEP nicht aktiviert. Wenn überhaupt, dann ist es teilweise nur für Windows 7 und Vista aktiviert, nicht für XP. Der Schutz durch ASLR wird oft durch das Laden von DLLs (Programmbibliotheken) an fixe Adressen teilweise oder komplett wirkungslos.

Immerhin hat sich das Ergebnis seit der ersten Untersuchung im Mai 2008 etwas verbessert. Google Chrome (ab 5.0) ist das einzige getestete Programm, das als in dieser Hinsicht vorbildlich gelten kann. Einige Hersteller haben inzwischen wieder neue Versionen heraus gebracht, die teilweise besser abschneiden.

Anwendung

DEP (Win7)

DEP (XP)

ASLR (komplett)

Adobe Flash Player

n/a

n/a

JA

Adobe Reader

JA*

JA*

nein

Adobe Shockwave Player

n/a

n/a

nein

Apple iTunes

JA

nein

nein

Apple Quicktime

nein

nein

nein

Apple Safari

JA

JA

nein

Foxit Reader

nein

nein

nein

Google Chrome

JA

JA

JA

Google Picasa

nein

nein

nein

Mozilla Firefox

JA

JA

nein

Openeinffice.org

nein

nein

nein

Opera

JA

JA

nein

RealPlayer

nein

nein

nein

Sun Java JRE

nein

nein

nein

VLC Media Player

nein

nein

nein

Winamp

nein

nein

nein

Quelle: Secunia
* kann ausgetrickst werden
n/a: nicht anwendbar, da vom Browser abhängig (PC-Welt) (wl)

Zur Startseite