Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Berichtet und gepatcht: RUB-Forscher entdeckt Sicherheitsrisiken bei Microsoft und Zotero

21.10.2010
Lückenschluss mit tatkräftiger Hilfe aus Bochum

Mit tatkräftiger Unterstützung aus der Ruhr-Universität Bochum konnten die Software-Hersteller Microsoft und Zotero Sicherheitslücken in ihren Softwareprodukten schließen.

Dipl.-Ing. Mario Heiderich vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB entdeckte die als „kritisch“ und „hoch“ eingeschätzten Risiken in der MS-Filtersoftware „SafeHTML“ und im Bibliotheksprogramm Zotero.

Die Hersteller haben inzwischen entsprechende Patches ausgeliefert und die Probleme behoben. Wieder einmal waren Bochumer IT-Sicherheitsexperten damit Hackern einen Schritt voraus, ehe größerer Schaden entstehen konnte.

Böses und gutes HTML

Microsoft nutzt eine Filtersoftware in fast allen Produkten, in denen HTML zum Einsatz kommt - SafeHTML entfernt bösartige und aktive HTML-Codes, Stylesheets (CSS) und JavaScript, um das so genannte Cross Site Scripting (XSS) und vergleichbare Angriffe zu vermeiden. Im April und Mai dieses Jahres entdeckte Mario Heiderich zwei Sicherheitslücken und informierte den Hersteller. Zum einen konnten Angreifer bösartiges HTML an diesem Filter vorbeischleusen und damit u. a. Benutzernamen und Passwort eines angemeldeten Benutzers im Klartext auslesen und den Account des eingeloggten Benutzers missbrauchen.

Die zweite Lücke hat ähnliche Auswirkungen, der Weg ist jedoch ein anderer. Diese Lücke betraf zudem Applikationen wie Hotmail - ein Angreifer konnte eine präparierte Mail versenden und damit den Account des Empfängers kompromittieren. Im August 2010 wurde diese zweite Lücke von chinesischen Forschern "wiederentdeckt" – aber nicht an Microsoft berichtet. „Da ich von dieser Wiederentdeckung frühzeitig erfahren habe, konnte ich die Information an Microsoft weitergeben und nach weiteren Untersuchungen eine dritte Variation der Verwundbarkeit entdecken“, so Heiderich. Am 12. Oktober 2010 wurden alle berichteten Sicherheitslücken gepatcht (MS10-071 und MS10-072).

Trojanisierte Rechner von Bibliotheksnutzern

Zotero ist eine Software zur Bibliotheksverwaltung, die vor allem Akademiker verwenden. Das Programm erlaubt zudem mehreren Usern, eine Bibliothek gleichzeitig und „kollaborativ“ zu nutzen. Am 8.10.2010 spürte Heiderich eine Sicherheitslücke in der „Zotero Firefox Extension“ auf, die es einem Angreifer ermöglicht, beliebigen Code auf dem Rechner des Opfers auszuführen. „Das ist ein hoch-kritischer Impact“, so der RUB-Forscher. Für einen erfolgreichen Angriff musste der Angreifer lediglich eine mit anderen Nutzern geteilte Bibliothek hochladen und darauf warten, dass die anderen User synchronisieren – dies geschieht automatisch – und dann einzelne Einträge betrachten. Der Angreifer konnte anschließend beliebige Programme herunterladen und starten und somit den Rechner des Opfers „trojanisieren“. Die Lücke wurde bereits am 13. Oktober von den Zotero-Entwicklern mit der Version 2.0.9 geschlossen (siehe http://www.zotero.org/support/changelog).

Prima Kommunikation mit der Industrie

„Die Kommunikation sowohl mit dem Zotero-Team als auch mit Microsoft lief prima“, resümiert Heiderich. „Die Lücke in Zotero wurde in gegenseitigem Einverständnis bezüglich der Validität des Patches geschlossen. Die Lücken in der Software von Microsoft wurden schnell konfirmiert und vergleichsweise rasch geschlossen.“ Mario Heiderich ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Netz- und Datensicherheit (Inhaber: Prof. Dr. Jörg Schwenk) an der Fakultät für Elektrotechnik und Informationstechnik der RUB. Der Lehrstuhl ist Teil des HGI, das mit zehn Professorinnen und Professoren aus Elektrotechnik und Informationstechnik, Mathematik sowie E-Business und Jura und derzeit 50 Wissenschaftlerinnen und Wissenschaftlern eine der größten und renommiertesten Hochschuleinrichtungen dieser Fachrichtung in Europa ist.

Weitere Informationen

Mario Heiderich, Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk), Fakultät für Elektrotechnik und Informationstechnik der RUB, Horst Görtz Institut für IT-Sicherheit (HGI), Tel. 0234/32-26728, E-Mail: mario.heiderich@rub.de

Angeklickt

HGI:
http://www.hgi.rub.de
Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.hgi.rub.de
http://www.zotero.org/support/changelog
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Sicheres Bezahlen ohne Datenspur
17.10.2017 | Karlsruher Institut für Technologie

nachricht Saarbrücker Forscher erstellen digitale Objekte aus unvollständigen 3-D-Daten
12.10.2017 | Universität des Saarlandes

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Hochfeldmagnet am BER II: Einblick in eine versteckte Ordnung

Seit dreißig Jahren gibt eine bestimmte Uranverbindung der Forschung Rätsel auf. Obwohl die Kristallstruktur einfach ist, versteht niemand, was beim Abkühlen unter eine bestimmte Temperatur genau passiert. Offenbar entsteht eine so genannte „versteckte Ordnung“, deren Natur völlig unklar ist. Nun haben Physiker erstmals diese versteckte Ordnung näher charakterisiert und auf mikroskopischer Skala untersucht. Dazu nutzten sie den Hochfeldmagneten am HZB, der Neutronenexperimente unter extrem hohen magnetischen Feldern ermöglicht.

Kristalle aus den Elementen Uran, Ruthenium, Rhodium und Silizium haben eine geometrisch einfache Struktur und sollten keine Geheimnisse mehr bergen. Doch das...

Im Focus: Schmetterlingsflügel inspiriert Photovoltaik: Absorption lässt sich um bis zu 200 Prozent steigern

Sonnenlicht, das von Solarzellen reflektiert wird, geht als ungenutzte Energie verloren. Die Flügel des Schmetterlings „Gewöhnliche Rose“ (Pachliopta aristolochiae) zeichnen sich durch Nanostrukturen aus, kleinste Löcher, die Licht über ein breites Spektrum deutlich besser absorbieren als glatte Oberflächen. Forschern am Karlsruher Institut für Technologie (KIT) ist es nun gelungen, diese Nanostrukturen auf Solarzellen zu übertragen und deren Licht-Absorptionsrate so um bis zu 200 Prozent zu steigern. Ihre Ergebnisse veröffentlichten die Wissenschaftler nun im Fachmagazin Science Advances. DOI: 10.1126/sciadv.1700232

„Der von uns untersuchte Schmetterling hat eine augenscheinliche Besonderheit: Er ist extrem dunkelschwarz. Das liegt daran, dass er für eine optimale...

Im Focus: Schnelle individualisierte Therapiewahl durch Sortierung von Biomolekülen und Zellen mit Licht

Im Blut zirkulierende Biomoleküle und Zellen sind Träger diagnostischer Information, deren Analyse hochwirksame, individuelle Therapien ermöglichen. Um diese Information zu erschließen, haben Wissenschaftler des Fraunhofer-Instituts für Lasertechnik ILT ein Mikrochip-basiertes Diagnosegerät entwickelt: Der »AnaLighter« analysiert und sortiert klinisch relevante Biomoleküle und Zellen in einer Blutprobe mit Licht. Dadurch können Frühdiagnosen beispielsweise von Tumor- sowie Herz-Kreislauf-Erkrankungen gestellt und patientenindividuelle Therapien eingeleitet werden. Experten des Fraunhofer ILT stellen diese Technologie vom 13.–16. November auf der COMPAMED 2017 in Düsseldorf vor.

Der »AnaLighter« ist ein kompaktes Diagnosegerät zum Sortieren von Zellen und Biomolekülen. Sein technologischer Kern basiert auf einem optisch schaltbaren...

Im Focus: Neue Möglichkeiten für die Immuntherapie beim Lungenkrebs entdeckt

Eine gemeinsame Studie der Universität Bern und des Inselspitals Bern zeigt, dass spezielle Bindegewebszellen, die in normalen Blutgefässen die Wände abdichten, bei Lungenkrebs nicht mehr richtig funktionieren. Zusätzlich unterdrücken sie die immunologische Bekämpfung des Tumors. Die Resultate legen nahe, dass diese Zellen ein neues Ziel für die Immuntherapie gegen Lungenkarzinome sein könnten.

Lungenkarzinome sind die häufigste Krebsform weltweit. Jährlich werden 1.8 Millionen Neudiagnosen gestellt; und 2016 starben 1.6 Millionen Menschen an der...

Im Focus: Sicheres Bezahlen ohne Datenspur

Ob als Smartphone-App für die Fahrkarte im Nahverkehr, als Geldwertkarten für das Schwimmbad oder in Form einer Bonuskarte für den Supermarkt: Für viele gehören „elektronische Geldbörsen“ längst zum Alltag. Doch vielen Kunden ist nicht klar, dass sie mit der Nutzung dieser Angebote weitestgehend auf ihre Privatsphäre verzichten. Am Karlsruher Institut für Technologie (KIT) entsteht ein sicheres und anonymes System, das gleichzeitig Alltagstauglichkeit verspricht. Es wird nun auf der Konferenz ACM CCS 2017 in den USA vorgestellt.

Es ist vor allem das fehlende Problembewusstsein, das den Informatiker Andy Rupp von der Arbeitsgruppe „Kryptographie und Sicherheit“ am KIT immer wieder...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Das Immunsystem in Extremsituationen

19.10.2017 | Veranstaltungen

Die jungen forschungsstarken Unis Europas tagen in Ulm - YERUN Tagung in Ulm

19.10.2017 | Veranstaltungen

Bauphysiktagung der TU Kaiserslautern befasst sich mit energieeffizienten Gebäuden

19.10.2017 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Forscher finden Hinweise auf verknotete Chromosomen im Erbgut

20.10.2017 | Biowissenschaften Chemie

Saugmaschinen machen Waschwässer von Binnenschiffen sauberer

20.10.2017 | Ökologie Umwelt- Naturschutz

Strukturbiologieforschung in Berlin: DFG bewilligt Mittel für neue Hochleistungsmikroskope

20.10.2017 | Förderungen Preise