Online-Kriminelle und Geheimdienste nutzen Schwachstellen in der Software aus, um schädlichen Code einzuschleusen. So manche Sicherheitslücke lässt sich jedoch nur schwer ausnutzen, wenn gängige Schutzmechanismen wie DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) eingesetzt werden. Manipulationen an ausführbaren Dateien können durch Signaturen erschwert werden. Doch nutzen die Software-Hersteller diese Möglichkeiten zum Selbstschutz auch?
Wie schon bei den Antivirusprogrammen hat das Magdeburger AV-Test Institut Web-Browser, Office-Pakete, PDF-Betrachter, Packer, Grafik-Software und Java auf ihrem Selbstschutz untersucht. Auf den Prüfstand kamen sowohl 32- als auch 64-Bit-Versionen der Programme. Untersucht wurden PE-Dateien (Portable Executable) – das sind im Wesentlichen EXE- und DLL-Dateien sowie Systemtreiber. Außerdem haben die Tester überprüft, ob die Programmdateien mit gültigen Zertifikaten signiert sind.
Die Ergebnisse sind insgesamt ganz gut, wenn auch noch mit Luft nach oben. Bei Java ist über die Zeit eine deutliche Verbesserung zu erkennen: wurde bis Java 6 kein derartiger Schutz benutzt, ist er ab Java 7 lückenlos vorhanden. So manche Open Source Software wie 7zip oder GIMP schneidet schlechter ab als kommerzielle Programme, wobei die Browser durchaus vorbildlich sind. Der Internet Explorer ist nicht vertreten, denn er ist so tief in Windows integriert, dass eine Abgrenzung der zugehörigen Dateien schwierig ist. Bei den Office-Paketen ist das Bild recht durchwachsen. Microsoft setzt nahezu durchweg DEP und ASLR ein, während Free Office diesen Schutz gar nicht nutzt.
Die Signierung mit Microsofts Authenticode-Verfahren soll sicherstellen, dass keine manipulierten Fremddateien eingeschleust werden. Antivirus-Software kann die Zertifikate prüfen und gegebenenfalls Alarm schlagen. Ausgerechnet Microsoft selbst patzt hier: zwar sind alle zu Office 2016 gehörenden Dateien signiert, doch bei einer Datei ist das Zertifikat abgelaufen. Auch ACDsee hat zwei Dateien mit ungültigen Zertifikaten im Paket. Auch bei den Code-Signaturen ist Open Source Software wie 7zip und GIMP nachlässig, vermutlich aus Kostengründen.
AV-Test hat angekündigt, es werde diese Tests nach einiger Zeit wiederholen, um zu sehen, ob es Fortschritte gibt. Die ausführlichen Testergebnisse finden Sie auf der Website des AV-Test Instituts.
Produkt | PE-Dateien mit 32 Bit | PE-Dateien mit 64 Bit |
| ||
DEP | ASLR | DEP | ASLR | ||
PDF-Reader |
|
|
|
|
|
Adobe Reader 2015.009.20069 (32 Bit) | 100% | 98,9% | 100% | 100% | 99,7% |
Adobe Reader 2015.009.20069 (64 Bit) | 100% | 98,9% | 100% | 100% | 99,7% |
Foxit Reader 7.2.0.0.722 (32 Bit) | 88,9% | 90,9% | keine Datei | keine Datei | 89,9% |
Foxit Reader 7.2.0.0.722 (64 Bit) | 88,9% | 89,7% | 100% | 100% | 94,6% |
PDF X-Change Editor 5.5.314.0 (32 Bit) | 100% | 100% | keine Datei | keine Datei | 100% |
PDF X-Change Editor 5.5.314.0 (64 Bit) | 100% | 100% | 100% | 100% | 100% |
Browser |
|
|
|
|
|
Chrome 46.0.2490.71 (32 Bit) | 100% | 98,8% | 100% | 100% | 99,7% |
Chrome 46.0.2490.71 (64 Bit) | 100% | 98,5% | 100% | 100% | 99,6% |
Firefox 40.0.3 (32 Bit) | 100% | 100% | 100% | 100% | 100% |
Firefox 40.0.3 (64 Bit) | 100% | 100% | 100% | 100% | 100% |
Firefox 41.0.2 (32 Bit) | 63,6% | 85,2% | 100% | 100% | 87,2% |
Firefox 41.0.2 (64 Bit) | 63,6% | 85,2% | 100% | 100% | 87,2% |
Opera 32.0.1948.69 (32 Bit) | 100% | 100% | 0,0% | 0,0% | 50,0% |
Opera 32.0.1948.69 (64 Bit) | 100% | 100% | 0,0% | 0,0% | 50,0% |
Office-Programme |
|
|
|
|
|
Free Office 2012 (32 Bit) | 0,0% | 0,0% | keine Datei | keine Datei | 0,0% |
Free Office 2012 (64 Bit) | 0,0% | 0,0% | keine Datei | keine Datei | 0,0% |
Libre Office 4.4.5.2 (32 Bit) | 85,7% | 88,3% | 50,0% | 0,0% | 56,0% |
Libre Office 4.4.5.2 (64 Bit) | 85,7% | 88,4% | 50,0% | 71,4% | 73,9% |
MS Office 2016 (32 Bit) | 98,5% | 98,7% | 100% | 100% | 99,3% |
MS Office 2016 (64 Bit) | 98,4% | 98,7% | 100% | 100% | 99,3% |
Open Office 4.1.1 (32 Bit) | 77,4% | 95,4% | 0,0% | 0,0% | 43,2% |
Open Office 4.1.1 (64 Bit) | 77,4% | 95,4% | 0,0% | 0,0% | 43,2% |
WPS Office 10.122 (32 Bit) | 68,8% | 91,1% | keine Datei | 100% | 86,6% |
WPS Office 10.122 (64 Bit) | 68,8% | 91,1% | keine Datei | 100% | 86,6% |
Packprogramme |
|
|
|
|
|
7Zip 9.20 (32 Bit) | 0,0% | 0,0% | keine Datei | keine Datei | 0,0% |
7Zip 9.20 (64 Bit) | 0,0% | 0,0% | 0,0% | 0,0% | 0,0% |
WinRAR 5.21 (32 Bit) | 100% | 50,0% | keine Datei | 100% | 83,3% |
WinRAR 5.21 (64 Bit) | 100% | 33,3% | 100% | 55,6% | 72,2% |
Java-Versionen |
|
|
|
|
|
Java Version 5 Update 22 (32 Bit) | 0,0% | 0,0% | keine Datei | keine Datei | 0,0% |
Java Version 6 Update 45 (32 Bit) | 0,0% | 0,0% | keine Datei | keine Datei | 0,0% |
Java Version 6 Update 45 (64 Bit) | keine Datei | keine Datei | 0,0% | 0,0% | 0,0% |
Java Version 7 Update 72 (32 Bit) | 100% | 100% | keine Datei | keine Datei | 100% |
Java Version 7 Update 72 (64 Bit) | keine Datei | keine Datei | 100% | 100% | 100% |
Java Version 8 Update 60 (32 Bit) | 100% | 100% | keine Datei | keine Datei | 100% |
Java Version 8 Update 60 (64 Bit) | keine Datei | keine Datei | 100% | 100% | 100% |
Grafikprogramme |
|
|
|
|
|
ACDSee Ultimate 8 (64 Bit) | 33,3% | 0,0% | 100% | 50,0% | 45,8% |
GIMP 2.8.14 (32 Bit) | 0,0% | 0,0% | 0,0% | 0,0% | 0,0% |
GIMP 2.8.14 (64 Bit) | 0,0% | 0,0% | 0,0% | 0,0% | 0,0% |
IrfanView 4.4.0 (32 Bit) | 0,0% | 30,0% | keine Datei | keine Datei | 15,0% |
IrfanView 4.4.0 (64 Bit) | keine Datei | keine Datei | 100% | 100% | 100% |
Paint.Net 4.0.6 (32 Bit) | 100% | 93,3% | keine Datei | 100% | 97,8% |
Paint.Net 4.0.6 (64 Bit) | 100% | 92,9% | keine Datei | 100% | 97,6% |
Hinweis zur Tabelle:
DEP ist nur bei direkt ausführbaren Dateien (EXE) sinnvoll, ASLR auch bei DLLs. Die eine oder andere 64-Bit-Software nutzt zwar 64-bittige DLLs, die EXE-Dateien sind jedoch 32-bittig. Deshalb steht in der Tabelle bei einigen Programmen "keine Datei" für 64-Bit-DEP, obwohl für 64-Bit-ASLR ein Prozentwert angegeben ist.
(PC-Welt/ad)