Voraussichtlich ab Version 13

Firefox: Address Space Layout Randomization wird Pflicht für Binär-Komponenten

Der Mozilla-Entwickler Kyle Huey hat in einem Blog-Eintrag geschrieben, dass künftig unter Windows ASLR Pflicht für XPCOM-DLL-Komponenten sein wird.

In den meisten modernen Versionen von Visual Studio ist Address Space Layout Randomization sowieso per Standard aktiviert. Somit wäre es für Schreiber von Erweiterungen kein großes Problem nachzusehen, ob ASLR auch aktiviert ist. Sollte es keine größeren Probleme geben, wir ASLR Pflicht ab Firefox 13.

ASLR ist ein wichtiger Sicherheits-Mechanismus, der es schwieriger macht, Sicherheitslücken auszunutzen. Im Technet ist nachzulesen, dass DEP und ASLR geschaffen wurden, um den Schadcode-Entwickler das Leben schwerer zu machen. Allerdings wird auch eingeräumt, dass sich beide gleichzeitig aushebeln lassen. Durch einen deutlichen Mehraufwand, würde das Schreiben von erfolgreicher Malware den Cyberkriminellen aber mehr Zeit kosten. Im Speziellen werden Browser als mögliche Ziele für das Umgehen von DEP und ASLR genannt. Sie finden die ASLR-Optionen hier.

Bei ASLR werden verarbeitete Daten zufällig positioniert. Somit muss ein Angreifer die Positionen der zurückgegebenen Werte schätzen. Wenn zum Beispiel in den Stack eingespeister Shellcode ausgeführt werden soll, muss ein Cyberkriminelle zunächst den Stack finden. In diesem Fall sind die zugehörigen Speicher-Adressen vom Angreifer versteckt. Ein Schuss ins Blaue ist allerdings kontraproduktiv, da er eher zu einem Abstürzen der Applikation führt, als zu einem erfolgreichen Angriff.

Firefox benutzt ASLR schon einige Zeit in seinen Kern-Komponenten. Huey beschwert sich allerdings in seinem Blog, dass viele Erweiterungen keinen Gebrauch von dieser Extra-Sicherheitsschicht machen.

Es kann pure Ironie sein, aber er verweist auf einen Blog-Eintrag, der die Antiviren-Hersteller als mögliche Sicherheitslücke für Firefox anprangert. Der Blogger hat sich laut eigener Aussage von einem Beitrag des Sicherheits-Experten Brian Krebs inspirieren lassen.

McAfees Flaggschiff hat zum Beispiel sieben DLLs in Firefox eingespeist. Alle davon hätten ASLR nicht aktiviert. Das gebe Cyberkriminellen eine breite Angriffsfläche. Für einen Angreifer sei es dabei sogar noch sehr einfach herauszufinden, ob die McAfee-Erweiterung geladen ist oder nicht. Dazu reiche simpler JavaScript-Code mit onerror und onload.

Symantec verdopple die Angriffsfläche noch, indem die Software 13 DLLs in Firefox einspeist - ohne aktiviertes ASLR. Somit würden die Software-Pakete Löcher in die wirkungsvollsten Sicherheits-Machanismen von Firefox und Microsoft reißen, die das System eigentlich beschützen sollen. Wenn nichts dazwichen kommt ist ab Firefox 13 damit Schluss. (jdo)