Thema: Javascript diverses

[SiLæncer]

Berend-Jan Wever, Entdecker der IFRAME-Sicherheitslücke im Internet Explorer, hat auf mehreren Sicherheit-Mailinglisten einen Code-Schnipsel veröffentlicht, das den Internet Explorer unter Windows XP mit Service Pack 1 zum Absturz bringt.

<HTML>
  <SCRIPT> a = new Array();
               while (1) { (a = new Array(a)).sort();
                         } </SCRIPT>
  <SCRIPT> a = new Array();
               while (1) { (a = new Array(a)).sort();
                         } </SCRIPT>
</HTML>

Die aktuelle Version von Firefox stürzt beim Aufruf ebenfalls ab und öffnet den Quality Feedback Manager, um einen Fehlerbericht an die Entwickler zu senden, Mozilla reagiert ähnlich. Opera 7.54 beendet sich ohne weitere Fehlermeldung. Der Preview-Release von Opera 7.60-3 machte unter Windows das ganze System instabil, indem er einfach den Speicher immer weiter vollschrieb.

Offenbar begrenzen die JavaScript-Interpreter die weiteren Funktionsaufrufe nicht, wenn kein Platz auf dem Stack mehr vorhanden ist und überschreiben einfach andere Bereiche. Nur unter Windows XP mit Service Pack 2 gibt der Internet Explorer die Fehlermeldung "Stack Overflow at Line:" aus und beendet die Ausführung des Skripts -- ohne selbst abzustürzen. Eine etwas ältere Version (3.2.2 ) des Konquerors wurde bei einem Test in der heise-Security-Redaktion zwar kurzzeitig sehr langsam, bot anschließend aber sogar das Beenden des Skriptes an.

Dass sich der Fehler zum Einschleusen und Starten von Code ausnutzen lässt, ist äußerst unwahrscheinlich, da man keine Kontrolle über den Stack erhält, um beispielsweise den Inhalt von Registern oder Rücksprungadressen zu manipulieren. Wever hat die Probleme an Microsoft und das Firefox-Team gemeldet, der Patch für den Internet Explorer wäre im weitesten Sinne Service Pack 2 für XP. Für Firefox und Opera gibt es noch kein Update.

Quelle : www.heise.de

[Jürgen]

...da fragt man sich doch, wieviel fehlerhaften Code diese Browser noch gemeinsam haben.
Voneinander abgeschrieben oder blind aus derselben Doku übernommen, ohne weitere Prüfung

[SiLæncer]

Die Betreiber von Phishing-Sites und andere Online-Betrüger verschleiern mit Javascript, was dem Browser untergeschoben wird.

Die Befehle einer Javascript-Routine in einer Web-Seite sind üblicherweise im Quelltext der Seite im Klartext erkennbar. Es gibt jedoch verschiedene Möglichkeiten den Code vor dem Auge des Betrachters zu verschleiern. Das IT-Sicherheitsunternehmen Websense hat nun die Ergebnisse einer Untersuchung veröffentlicht, die sich mit den von Online-Betrügern eingesetzten Methoden befasst.

Die beschriebenen Methoden sind keineswegs neu oder besonders originell. Sie basieren im Wesentlichen auf der Konvertierung von Zeichen in eine äquivalente Kodierung. So wird etwa aus "?" ein "%3F", ein "a" wird zu "%61" und so fort. Das sind die hexadezimalen Zeichen-Codes der jeweiligen Buchstaben oder Zeichen. Oft werden diese Teile einer Web-Site in HTML-Konstrukten wie zum Beispiel einem IFRAME verborgen, dessen Breite und Höhe auf den Wert Null gesetzt ist. So ist im Browser nichts davon zu sehen, der Inhalt des IFRAME-Tags kann von einer fremden Website geladen werden.

Die von Websense betonte Bedeutung liegt vor allem in der beobachteten breiten Anwendung dieser Verschleierungstaktiken auf Phishing-Sites und anderer Web-Seiten mit unlauteren Absichten. Die Täter verbergen so ihren schädlichen Code, der zum Teil Sicherheitslücken im Internet Explorer ausnutzen soll. Websense hat in den letzten Wochen fast 10.000 Websites ausgemacht, die praktisch die gleiche Methode zur Verschleierung böswilligen Script-Befehle einsetzen. Diese Methode wird sogar von manchen Virenscannern erkannt und zum Beispiel von McAfee als " JS/Wonka " bezeichnet.

Etwa drei Viertel der entdeckten Websites, die mit JS/Wonka und ähnlichen Methoden arbeiten, liegen auf Servern in den USA. Daraus leitet Websense den Schluß ab, dass hier möglicherweise eine bestimmte Gruppe von Tätern am Werk sein könnte, die in den USA beheimatet sind. Europäische Server sind mit insgesamt kaum mehr als 12 Prozent beteiligt. Zu einem nicht geringen Teil liegen Phishing-Sites in Unterverzeichnissen unzureichend geschützter Web-Server. Daher sind Provider und Website-Betreiber aufgerufen, ihre Web-Server regelmäßig auf eingeschleuste Seiten in Unterverzeichnissen zu untersuchen, die zudem verdächtigen Script-Code enthalten.

Technische Details und Beispiel-Code zur Anschauung sind in einer PDF-Datei enthalten, die Sie auf der Website der Websense Security Labs erhalten.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/122480/index.html

[SiLæncer]

Viele Browser zeigen sich anfällig für ein kurzes Javascript-Programm, das einen überlangen Titel für das Dokument setzt. Auf dem Sicherheitsportal Packet Storm Security wurde ein entsprechender Proof-Of-Concept-Exploit veröffentlicht, der bei diversen Browsern einen Denial-of-Service verursacht. Unter Umständen wird sogar der Neustart des Browsers verhindert, sofern dieser einen entsprechenden Eintrag in der History vorgenommen hat. Zurzeit ist noch unklar, ob die langen Titel auch zu Buffer-Overflows führen, die sich zur Ausführung von beliebigem Schadcode nutzen lassen.

Die verschiedenen JavaScript-fähigen Browser zeigen beim Aufruf einer entsprechend manipulierten Webseite ein sehr unterschiedliches Verhalten. Diverse getestete Firefox-Versionen von 1.0.4 bis 1.5 stürzten im Test oft bereits beim Aufruf ab. Beim Neustart bleiben sie in jedem Fall komplett hängen, bis die Datei history.dat gelöscht wird. Opera 8.5 zeigt sich vom Aufruf unbeeindruckt, lässt sich anschließend allerdings nicht mehr starten, bis die überlange Titelzeile aus der Datei autosave.win entfernt wurde. Der KDE-Browser Konqueror lastet das System beim Aufruf kurzzeitig vollständig aus, bietet aber die Möglichkeit, die Script-Ausführung abzubrechen. Der Internet Explorer 6 von Microsoft zeigt hingegen auch beim Neustart keinerlei Symptome.

Von dem Problem sind wahrscheinlich auch andere Browser betroffen. Das Sans-Institute berichtet jedoch auch von Fällen, in denen die Abstürze nicht reproduziert werden konnten. Als vorläufiger Workaround kommt die Deaktivierung der History-Funktion in Frage.

Quelle und Links : http://www.heise.de/newsticker/meldung/67132

[SiLæncer]

Symantec beschreibt auf seiner Website eine neue Angriffstechnik, die bei faulen Anwendern maximalen Schaden anrichten könnte, aber relativ leicht abgewehrt werden kann.

Die Sicherheitsexperten von Symantec stellen in ihrem Weblog eine neue Angriffstechnik vor, die von Mitarbeitern des Unternehmens sowie der Indiana University School of Informatics entwickelt wurde. Für einen Angriff würde es demnach genügen, eine mit einem speziellen Javascript-Code präparierte Website zu erstellen und Opfer auf selbige zu locken. Alleine durch den Aufruf der Site würde der Code bereits sein Werk verrichten und Änderungen am Breitband- oder WLAN-Router des Opfers vornehmen.

Angreifer könnten nun Änderungen an den DNS-Server-Einträgen des Routers vornehmen. Als mögliche Folge könnten Anwender dann auf betrügerische Online-Banking-Seiten gelockt werden - und dies würde den Opfern nicht einmal auffallen, da sie im Browser die korrekte URL eingeben, durch die Änderungen an den DNS-Einträgen aber auf eine betrügerische Seite gelotst werden. Je nachdem, wie gut eine solche, falsche Banking-Seite nachgebaut wurde, hätten Betrüger ausreichend Zeit, um sensible Daten abzufangen und in der Folge beispielsweise Konten leer zu räumen.

Allerdings funktioniert die Sache nur dann, wenn Anwender das Passwort ihres Routers nicht ändern. Und dies ist laut den Experten von Symantec bei immerhin 50 Prozent der Anwender der Fall. Im Auslieferungszustand von Routern lauten die Zugangsdaten meist "admin" und "password", es ist also für Angreifer ein leichtes, sich auf solche Geräte zu hacken. Daher sollten Sie unbedingt das Passwort Ihres Routers abändern und ein möglichst schwieriges Passwort vergeben. Eine zweite Sicherungsmaßnahme ist zwar sinnvoll, aber in der Regel unpraktisch. So sollten Sie das Ausführen von Javascript-Code im Browser unterbinden. Laut Symantec lassen dies rund 95 Prozent der Anwender aber zu. Dies ist allerdings auch nicht weiter verwunderlich, da heutzutage ein Großteil der Web-Seiten Javascript-Code verwendet. Diese würden nach dem Abschalten der Funktion nicht mehr korrekt angezeigt.

Quelle : www.pcwelt.de

[Jürgen]

Das Router-Passwort muss nicht nur sicher sein, es darf auch keinesfalls im Browser gespeichert werden!
Sonst findet jemand dort - wieder einmal - eine Lücke, und das war's dann...

Schlimm genug, dass i.d.R. die Einstellungen von Routern allein vom Rechner aus geändert werden können, ohne direkten Zugang zum Gerät.
Derartig sicherheitsrelevante Dinge sollten meiner Ansicht nach nur zusammen mit einem Knopfdruck am Gerät möglich sein dürfen, den man nicht per Datenübertragung manipulieren kann. Wie ein Schreibschutz-Jumper für's BIOS, beispielsweise. Schreib-Spannung abgeschaltet, basta...
Bloss würden wohl die Produktionskosten der Geräte pro Stück um fast einen Cent steigen 
Bei den üblichen Stückzahlen kommt so schnell ein Sportwagen weniger für den Chef dabei heraus 

Alternativ käme natürlich auch die wirksame Beschränkung des Admin-Zugangs auf ein bestimmtes Port infrage, das möglichst für andere Zwecke nicht genutzt werden sollte.
Also z.B. Konfig nur über USB, wenn sonst LAN genutzt wird, oder umgekehrt.
So ähnlich war das bei meiner ersten FritzBox, bei der neuen leider nicht mehr.

[SiLæncer]

Entwickler legitimer Web-Anwendungen sollten in Zukunft die Finger von Tools zum Packen und Codieren von JavaScript lassen. Das fordert Paul Ducklin, Head of Technology beim Antivirensoftwarelieferanten Sophos. Duckling ist der Überzeugung, dass verschlüsselter JavaScript-Code mehr Schaden als Nutzen hat.

Wie Ducklin in seinem Vortrag "The Malware in the Rue Morgue" während der RSA Conference erklärte, bieten kommerzielle Packer wie Aevitas Advanced HTML Encrypt and Password Protect kaum Schutz gegen potenzielle Sourcecode-Diebe. Webentwickler die glauben, dass sie ihre Schöpfung mit diesem und ähnlichen Tools wirksam gegen den Diebstahl des geistigen Eigentums schützen können, sind laut Ducklin auf dem Holzweg. Er demonstrierte, wie sich Sourcecode, der mit Aevitas Tool verschlüsselte wurde, binnen Minuten in Klartext umwandeln lässt. Dazu bediente er sich lediglich frei zugänglicher Tools wie Mozillas Rhino und Caffeine Monkey sowie seinem HTML- und JavaScript-Sachverstand.

So wenig die Codierung dem Schutz des Codes nutzt, so sehr spielt sie Cyber-Kriminellen in die Hände. Denn lokale Sicherheitsanwendungen, die den vom Internet zum Browser strömenden Webtraffic ständig auf potenzielle Gefahren untersuchen, brauchen für die Analyse von verschlüsseltem Sourcecode entweder erheblich länger was sich negativ auf die Performance des Webzugangs auswirkt oder scheitern gänzlich.

Laut Ducklin sammelt alleine das Anti-Malware-Labor von Sophos täglich 30.000 legitime Webseiten, die mit bösartigem JavaScript-Code oder iFrames infiziert wurden. Ein großer Teil dieser Seiten wurde zwar von den Entwicklern verschlüsselt, der eigentlichen Webserver-Sicherheit wurde aber offenbar weniger Aufmerksamkeit geschenkt. Andernfalls wäre es den Angreifern nicht gelungen, ihren Schadcode in die Seiten zu pflanzen. Den Negativrekord hält laut Ducklin eine Website, deren Code von 22 verschiedenen Angreifern mit diversem Schadcode infiziert wurde.

Wie Ducklin erklärte, nutzen inzwischen auch die Angreifer neben der üblichen Verschleierung (Code Obfuscation) Verschlüsselungstechniken, um ihren JavaScript-Code gegen Analysen zu sichern. Insbesondere das Exploit-Toolkit Luckysploit sei aufgrund der verwendeten Verschlüsselungstechniken erwähnenswert. In Kombination mit der Codierung der legitimen, infizierten Website mache dies die Arbeit der Online-Scanner unnötig kompliziert.

Ducklin forderte die Entwicklergemeine daher auf, in Zukunft auf das mehr als fragwürdige Konzept der "security through Obscurity" zu verzichten. Einen Vorschlag, wie die Programmierer ihren wertvollen Sourcecode stattdessen anderweitig gegen unerlaubtes Kopieren schützen sollen, hatte der Sophos-Mann jedoch leider nicht parat.

Quelle : www.heise.de

[SiLæncer]

Mit JavaScript lassen sich Links so manipulieren, dass selbst aufmerksame Nutzer davon nichts bemerken. Angreifer können auf diese Weise Links korrumpieren und Nutzer auf Seiten lotsen, die sie eigentlich nicht besuchen wollen. Blogger und Entwickler Bilawal Hameed, der die Lücke gefunden hat, bezeichnet sie als ein neues Werkzeug für Phisher.

Der ganze Artikel

Quelle : www.heise.de