Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Berichtet und gepatcht: RUB-Forscher entdeckt Sicherheitsrisiken bei Microsoft und Zotero

21.10.2010
Lückenschluss mit tatkräftiger Hilfe aus Bochum

Mit tatkräftiger Unterstützung aus der Ruhr-Universität Bochum konnten die Software-Hersteller Microsoft und Zotero Sicherheitslücken in ihren Softwareprodukten schließen.

Dipl.-Ing. Mario Heiderich vom Horst Görtz Institut für IT-Sicherheit (HGI) der RUB entdeckte die als „kritisch“ und „hoch“ eingeschätzten Risiken in der MS-Filtersoftware „SafeHTML“ und im Bibliotheksprogramm Zotero.

Die Hersteller haben inzwischen entsprechende Patches ausgeliefert und die Probleme behoben. Wieder einmal waren Bochumer IT-Sicherheitsexperten damit Hackern einen Schritt voraus, ehe größerer Schaden entstehen konnte.

Böses und gutes HTML

Microsoft nutzt eine Filtersoftware in fast allen Produkten, in denen HTML zum Einsatz kommt - SafeHTML entfernt bösartige und aktive HTML-Codes, Stylesheets (CSS) und JavaScript, um das so genannte Cross Site Scripting (XSS) und vergleichbare Angriffe zu vermeiden. Im April und Mai dieses Jahres entdeckte Mario Heiderich zwei Sicherheitslücken und informierte den Hersteller. Zum einen konnten Angreifer bösartiges HTML an diesem Filter vorbeischleusen und damit u. a. Benutzernamen und Passwort eines angemeldeten Benutzers im Klartext auslesen und den Account des eingeloggten Benutzers missbrauchen.

Die zweite Lücke hat ähnliche Auswirkungen, der Weg ist jedoch ein anderer. Diese Lücke betraf zudem Applikationen wie Hotmail - ein Angreifer konnte eine präparierte Mail versenden und damit den Account des Empfängers kompromittieren. Im August 2010 wurde diese zweite Lücke von chinesischen Forschern "wiederentdeckt" – aber nicht an Microsoft berichtet. „Da ich von dieser Wiederentdeckung frühzeitig erfahren habe, konnte ich die Information an Microsoft weitergeben und nach weiteren Untersuchungen eine dritte Variation der Verwundbarkeit entdecken“, so Heiderich. Am 12. Oktober 2010 wurden alle berichteten Sicherheitslücken gepatcht (MS10-071 und MS10-072).

Trojanisierte Rechner von Bibliotheksnutzern

Zotero ist eine Software zur Bibliotheksverwaltung, die vor allem Akademiker verwenden. Das Programm erlaubt zudem mehreren Usern, eine Bibliothek gleichzeitig und „kollaborativ“ zu nutzen. Am 8.10.2010 spürte Heiderich eine Sicherheitslücke in der „Zotero Firefox Extension“ auf, die es einem Angreifer ermöglicht, beliebigen Code auf dem Rechner des Opfers auszuführen. „Das ist ein hoch-kritischer Impact“, so der RUB-Forscher. Für einen erfolgreichen Angriff musste der Angreifer lediglich eine mit anderen Nutzern geteilte Bibliothek hochladen und darauf warten, dass die anderen User synchronisieren – dies geschieht automatisch – und dann einzelne Einträge betrachten. Der Angreifer konnte anschließend beliebige Programme herunterladen und starten und somit den Rechner des Opfers „trojanisieren“. Die Lücke wurde bereits am 13. Oktober von den Zotero-Entwicklern mit der Version 2.0.9 geschlossen (siehe http://www.zotero.org/support/changelog).

Prima Kommunikation mit der Industrie

„Die Kommunikation sowohl mit dem Zotero-Team als auch mit Microsoft lief prima“, resümiert Heiderich. „Die Lücke in Zotero wurde in gegenseitigem Einverständnis bezüglich der Validität des Patches geschlossen. Die Lücken in der Software von Microsoft wurden schnell konfirmiert und vergleichsweise rasch geschlossen.“ Mario Heiderich ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Netz- und Datensicherheit (Inhaber: Prof. Dr. Jörg Schwenk) an der Fakultät für Elektrotechnik und Informationstechnik der RUB. Der Lehrstuhl ist Teil des HGI, das mit zehn Professorinnen und Professoren aus Elektrotechnik und Informationstechnik, Mathematik sowie E-Business und Jura und derzeit 50 Wissenschaftlerinnen und Wissenschaftlern eine der größten und renommiertesten Hochschuleinrichtungen dieser Fachrichtung in Europa ist.

Weitere Informationen

Mario Heiderich, Lehrstuhl für Netz- und Datensicherheit (Prof. Dr. Jörg Schwenk), Fakultät für Elektrotechnik und Informationstechnik der RUB, Horst Görtz Institut für IT-Sicherheit (HGI), Tel. 0234/32-26728, E-Mail: mario.heiderich@rub.de

Angeklickt

HGI:
http://www.hgi.rub.de
Redaktion: Jens Wylkop

Dr. Josef König | idw
Weitere Informationen:
http://www.hgi.rub.de
http://www.zotero.org/support/changelog
http://www.ruhr-uni-bochum.de/

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Fliegen wird smarter – Kommunikationssystem LYRA im Lufthansa FlyingLab
18.01.2018 | Deutsches Forschungszentrum für Künstliche Intelligenz GmbH, DFKI

nachricht Humane Sachbearbeitung mit Künstlicher Intelligenz
18.01.2018 | Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Maschinelles Lernen im Quantenlabor

Auf dem Weg zum intelligenten Labor präsentieren Physiker der Universitäten Innsbruck und Wien ein lernfähiges Programm, das eigenständig Quantenexperimente entwirft. In ersten Versuchen hat das System selbständig experimentelle Techniken (wieder)entdeckt, die heute in modernen quantenoptischen Labors Standard sind. Dies zeigt, dass Maschinen in Zukunft auch eine kreativ unterstützende Rolle in der Forschung einnehmen könnten.

In unseren Taschen stecken Smartphones, auf den Straßen fahren intelligente Autos, Experimente im Forschungslabor aber werden immer noch ausschließlich von...

Im Focus: Artificial agent designs quantum experiments

On the way to an intelligent laboratory, physicists from Innsbruck and Vienna present an artificial agent that autonomously designs quantum experiments. In initial experiments, the system has independently (re)discovered experimental techniques that are nowadays standard in modern quantum optical laboratories. This shows how machines could play a more creative role in research in the future.

We carry smartphones in our pockets, the streets are dotted with semi-autonomous cars, but in the research laboratory experiments are still being designed by...

Im Focus: Fliegen wird smarter – Kommunikationssystem LYRA im Lufthansa FlyingLab

• Prototypen-Test im Lufthansa FlyingLab
• LYRA Connect ist eine von drei ausgewählten Innovationen
• Bessere Kommunikation zwischen Kabinencrew und Passagieren

Die Zukunft des Fliegens beginnt jetzt: Mehrere Monate haben die Finalisten des Mode- und Technologiewettbewerbs „Telekom Fashion Fusion & Lufthansa FlyingLab“...

Im Focus: Ein Atom dünn: Physiker messen erstmals mechanische Eigenschaften zweidimensionaler Materialien

Die dünnsten heute herstellbaren Materialien haben eine Dicke von einem Atom. Sie zeigen völlig neue Eigenschaften und sind zweidimensional – bisher bekannte Materialien sind dreidimensional aufgebaut. Um sie herstellen und handhaben zu können, liegen sie bislang als Film auf dreidimensionalen Materialien auf. Erstmals ist es Physikern der Universität des Saarlandes um Uwe Hartmann jetzt mit Forschern vom Leibniz-Institut für Neue Materialien gelungen, die mechanischen Eigenschaften von freitragenden Membranen atomar dünner Materialien zu charakterisieren. Die Messungen erfolgten mit dem Rastertunnelmikroskop an Graphen. Ihre Ergebnisse veröffentlichen die Forscher im Fachmagazin Nanoscale.

Zweidimensionale Materialien sind erst seit wenigen Jahren bekannt. Die Wissenschaftler André Geim und Konstantin Novoselov erhielten im Jahr 2010 den...

Im Focus: Forscher entschlüsseln zentrales Reaktionsprinzip von Metalloenzymen

Sogenannte vorverspannte Zustände beschleunigen auch photochemische Reaktionen

Was ermöglicht den schnellen Transfer von Elektronen, beispielsweise in der Photosynthese? Ein interdisziplinäres Forscherteam hat die Funktionsweise wichtiger...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Kongress Meditation und Wissenschaft

19.01.2018 | Veranstaltungen

LED Produktentwicklung – Leuchten mit aktuellem Wissen

18.01.2018 | Veranstaltungen

6. Technologie- und Anwendungsdialog am 18. Januar 2018 an der TH Wildau: „Intelligente Logistik“

18.01.2018 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Kongress Meditation und Wissenschaft

19.01.2018 | Veranstaltungsnachrichten

Maschinelles Lernen im Quantenlabor

19.01.2018 | Physik Astronomie

Warum es für Pflanzen gut sein kann auf Sex zu verzichten

19.01.2018 | Biowissenschaften Chemie