Black Hat: Mozilla stellt neues Sicherheits-Tool vor

Auf der Sicherheitskonferenz Black Hat wollen Sicherheitsfachleute der Mozilla Corporation Werkzeuge vorstellen und veröffentlichen, mit denen Entwickler die Sicherheit von Firefox und Thunderbird verbessern.

Die Verwendung so genannter "Fuzzing Tools" oder "Fuzzer" zum Aufspüren von Sicherheitslücken in Anwendungen ist bereits seit einiger Zeit Standard. Etliche Softwarefirmen setzen solche Werkzeuge ein, die sie selbst entwickelt oder von anderen zugekauft haben. Selten jedoch wird ein Softwarehersteller selbst entwickelte Tools dieser Art der Allgemeinheit zur Verfügung stellen. Genau dies jedoch soll am Mittwoch auf der Sicherheitskonferenz Black Hat in Las Vegas passieren.

In ihrem Vortrag "Building and Breaking the Browser" wollen Window Snyder und Mike Shaver von der Mozilla Corporation die Offenheit des Mozilla-Projekts demonstrieren. Sie werden die Werkzeuge und Methoden vorstellen, mit denen die Entwickler von Firefox und Thunderbird nach Sicherheitslücken in ihren eigenen Programmen suchen. Dazu zählen Fuzzer für die Protokolle HTTP und FTP sowie für die Programmiersprache Javascript. Fuzzer traktieren Programme stundenlang mit sinnlosen Parametern, um zu prüfen, ob sie sich dadurch zum Absturz bringen lassen.

Angekündigt ist jedoch nicht nur eine Vorstellung und Demonstration dieser Tools, zumindest ein Teil davon soll auch veröffentlicht werden. Damit wollen die Mozilla-Verantwortlichen auch unabhängige Sicherheitsforscher in die Lage versetzen, zur Verbesserung der Sicherheit von Firefox und Thunderbird beizutragen.

Ein solcher Schritt birgt jedoch auch ein gewisses Risiko. So können auch diejenigen, die Sicherheitslücken für kriminelle Zwecke ausnutzen, etwa um Malware einzuschleusen, diese Werkzeuge nutzen und ihre Erkenntnisse für sich behalten. Die Verantwortlichen des Mozilla-Projekts sind offenbar bereit, dieses Risiko einzugehen.

Auch andere Browser-Hersteller wie Microsoft oder Opera setzen selbst entwickelte Fuzzing Tools zum Aufspüren von Schwachstellen ein. Sie werden jedoch in der Regel nicht veröffentlicht. Herstellerunabhängige Forscher hingegen haben bereits derartige Tools publiziert, so etwa H.D. Moore vom Metasploit-Projekt, der seinen ActiveX-Fuzzer "Axman" veröffentlicht hat. (PC-Welt/mja)