Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Berichtet und gepatcht: RUB-Forscher entdeckt Sicherheitsrisiken bei Microsoft und Zotero

21.10.2010
Lückenschluss mit tatkräftiger Hilfe aus Bochum

Mit tatkräftiger Unterstützung aus der Ruhr-Universität Bochum konnten die Software-Hersteller Microsoft und Zotero Sicherheitslücken in ihren Softwareprodukten schließen.

Dipl.-Ing. Mario Heiderich vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB entdeckte die als „kritisch“ und „hoch“ eingeschätzten Risiken in der MS-Filtersoftware „SafeHTML“ und im Bibliotheksprogramm Zotero.

Die Hersteller haben inzwischen entsprechende Patches ausgeliefert und die Probleme behoben. Wieder einmal waren Bochumer IT-Sicherheitsexperten damit Hackern einen Schritt voraus, ehe größerer Schaden entstehen konnte.

Böses und gutes HTML

Microsoft nutzt eine Filtersoftware in fast allen Produkten, in denen HTML zum Einsatz kommt - SafeHTML entfernt bösartige und aktive HTML-Codes, Stylesheets (CSS) und JavaScript, um das so genannte Cross Site Scripting (XSS) und vergleichbare Angriffe zu vermeiden. Im April und Mai dieses Jahres entdeckte Mario Heiderich zwei Sicherheitslücken und informierte den Hersteller. Zum einen konnten Angreifer bösartiges HTML an diesem Filter vorbeischleusen und damit u. a. Benutzernamen und Passwort eines angemeldeten Benutzers im Klartext auslesen und den Account des eingeloggten Benutzers missbrauchen.

Die zweite Lücke hat ähnliche Auswirkungen, der Weg ist jedoch ein anderer. Diese Lücke betraf zudem Applikationen wie Hotmail - ein Angreifer konnte eine präparierte Mail versenden und damit den Account des Empfängers kompromittieren. Im August 2010 wurde diese zweite Lücke von chinesischen Forschern "wiederentdeckt" – aber nicht an Microsoft berichtet. „Da ich von dieser Wiederentdeckung frühzeitig erfahren habe, konnte ich die Information an Microsoft weitergeben und nach weiteren Untersuchungen eine dritte Variation der Verwundbarkeit entdecken“, so Heiderich. Am 12. Oktober 2010 wurden alle berichteten Sicherheitslücken gepatcht (MS10-071 und MS10-072).

Trojanisierte Rechner von Bibliotheksnutzern

Zotero ist eine Software zur Bibliotheksverwaltung, die vor allem Akademiker verwenden. Das Programm erlaubt zudem mehreren Usern, eine Bibliothek gleichzeitig und „kollaborativ“ zu nutzen. Am 8.10.2010 spürte Heiderich eine Sicherheitslücke in der „Zotero Firefox Extension“ auf, die es einem Angreifer ermöglicht, beliebigen Code auf dem Rechner des Opfers auszuführen. „Das ist ein hoch-kritischer Impact“, so der RUB-Forscher. Für einen erfolgreichen Angriff musste der Angreifer lediglich eine mit anderen Nutzern geteilte Bibliothek hochladen und darauf warten, dass die anderen User synchronisieren – dies geschieht automatisch – und dann einzelne Einträge betrachten. Der Angreifer konnte anschließend beliebige Programme herunterladen und starten und somit den Rechner des Opfers „trojanisieren“. Die Lücke wurde bereits am 13. Oktober von den Zotero-Entwicklern mit der Version 2.0.9 geschlossen (siehe http://www.zotero.org/support/changelog).

Prima Kommunikation mit der Industrie

„Die Kommunikation sowohl mit dem Zotero-Team als auch mit Microsoft lief prima“, resümiert Heiderich. „Die Lücke in Zotero wurde in gegenseitigem Einverständnis bezüglich der Validität des Patches geschlossen. Die Lücken in der Software von Microsoft wurden schnell konfirmiert und vergleichsweise rasch geschlossen.“ Mario Heiderich ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Netz- und Datensicherheit (Inhaber: Prof. Dr. Jörg Schwenk) an der Fakultät für Elektrotechnik und Informationstechnik der RUB. Der Lehrstuhl ist Teil des HGI, das mit zehn Professorinnen und Professoren aus Elektrotechnik und Informationstechnik, Mathematik sowie E-Business und Jura und derzeit 50 Wissenschaftlerinnen und Wissenschaftlern eine der größten und renommiertesten Hochschuleinrichtungen dieser Fachrichtung in Europa ist.

Weitere Informationen

Mario Heiderich, Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk), Fakultät für Elektrotechnik und Informationstechnik der RUB, Horst Görtz Institut für IT-Sicherheit (HGI), Tel. 0234/32-26728, E-Mail: mario.heiderich@rub.de

Angeklickt

HGI:
http://www.hgi.rub.de
Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.hgi.rub.de
http://www.zotero.org/support/changelog
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Smart Wireless Solutions: EU-Großprojekt „DEWI“ liefert Innovationen für eine drahtlose Zukunft
27.04.2017 | Kompetenzzentrum - Das virtuelle Fahrzeug Forschungsgesellschaft mbH

nachricht Ergonomie am Arbeitsplatz: Kamera erkennt ungesunde Bewegungen
24.04.2017 | IPH - Institut für Integrierte Produktion Hannover gGmbH

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: TU Chemnitz präsentiert weltweit einzigartige Pilotanlage für nachhaltigen Leichtbau

Wickelprinzip umgekehrt: Orbitalwickeltechnologie soll neue Maßstäbe in der großserientauglichen Fertigung komplexer Strukturbauteile setzen

Mitarbeiterinnen und Mitarbeiter des Bundesexzellenzclusters „Technologiefusion für multifunktionale Leichtbaustrukturen" (MERGE) und des Instituts für...

Im Focus: Smart Wireless Solutions: EU-Großprojekt „DEWI“ liefert Innovationen für eine drahtlose Zukunft

58 europäische Industrie- und Forschungspartner aus 11 Ländern forschten unter der Leitung des VIRTUAL VEHICLE drei Jahre lang, um Europas führende Position im Bereich Embedded Systems und dem Internet of Things zu stärken. Die Ergebnisse von DEWI (Dependable Embedded Wireless Infrastructure) wurden heute in Graz präsentiert. Zu sehen war eine Fülle verschiedenster Anwendungen drahtloser Sensornetzwerke und drahtloser Kommunikation – von einer Forschungsrakete über Demonstratoren zur Gebäude-, Fahrzeug- oder Eisenbahntechnik bis hin zu einem voll vernetzten LKW.

Was vor wenigen Jahren noch nach Science-Fiction geklungen hätte, ist in seinem Ansatz bereits Wirklichkeit und wird in Zukunft selbstverständlicher Teil...

Im Focus: Weltweit einzigartiger Windkanal im Leipziger Wolkenlabor hat Betrieb aufgenommen

Am Leibniz-Institut für Troposphärenforschung (TROPOS) ist am Dienstag eine weltweit einzigartige Anlage in Betrieb genommen worden, mit der die Einflüsse von Turbulenzen auf Wolkenprozesse unter präzise einstellbaren Versuchsbedingungen untersucht werden können. Der neue Windkanal ist Teil des Leipziger Wolkenlabors, in dem seit 2006 verschiedenste Wolkenprozesse simuliert werden. Unter Laborbedingungen wurden z.B. das Entstehen und Gefrieren von Wolken nachgestellt. Wie stark Luftverwirbelungen diese Prozesse beeinflussen, konnte bisher noch nicht untersucht werden. Deshalb entstand in den letzten Jahren eine ergänzende Anlage für rund eine Million Euro.

Die von dieser Anlage zu erwarteten neuen Erkenntnisse sind wichtig für das Verständnis von Wetter und Klima, wie etwa die Bildung von Niederschlag und die...

Im Focus: Nanoskopie auf dem Chip: Mikroskopie in HD-Qualität

Neue Erfindung der Universitäten Bielefeld und Tromsø (Norwegen)

Physiker der Universität Bielefeld und der norwegischen Universität Tromsø haben einen Chip entwickelt, der super-auflösende Lichtmikroskopie, auch...

Im Focus: Löschbare Tinte für den 3-D-Druck

Im 3-D-Druckverfahren durch Direktes Laserschreiben können Mikrometer-große Strukturen mit genau definierten Eigenschaften geschrieben werden. Forscher des Karlsruher Institus für Technologie (KIT) haben ein Verfahren entwickelt, durch das sich die 3-D-Tinte für die Drucker wieder ‚wegwischen‘ lässt. Die bis zu hundert Nanometer kleinen Strukturen lassen sich dadurch wiederholt auflösen und neu schreiben - ein Nanometer entspricht einem millionstel Millimeter. Die Entwicklung eröffnet der 3-D-Fertigungstechnik vielfältige neue Anwendungen, zum Beispiel in der Biologie oder Materialentwicklung.

Beim Direkten Laserschreiben erzeugt ein computergesteuerter, fokussierter Laserstrahl in einem Fotolack wie ein Stift die Struktur. „Eine Tinte zu entwickeln,...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Internationaler Tag der Immunologie - 29. April 2017

28.04.2017 | Veranstaltungen

Kampf gegen multiresistente Tuberkulose – InfectoGnostics trifft MYCO-NET²-Partner in Peru

28.04.2017 | Veranstaltungen

123. Internistenkongress: Traumata, Sprachbarrieren, Infektionen und Bürokratie – Herausforderungen

27.04.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Über zwei Millionen für bessere Bordnetze

28.04.2017 | Förderungen Preise

Symbiose-Bakterien: Vom blinden Passagier zum Leibwächter des Wollkäfers

28.04.2017 | Biowissenschaften Chemie

Wie Pflanzen ihre Zucker leitenden Gewebe bilden

28.04.2017 | Biowissenschaften Chemie