Hacker aus dem Project Zero-Projekt von Google haben ein Open-Access-Tool zum automatischen Testen von Programmen auf Fehler veröffentlicht - den
Domato Fuzzer . Die Wirksamkeit des Programms wurde in der Praxis bewiesen: Es
wurden 31 Fehler in fünf gängigen Browsern gefunden. Die Testergebnisse sind in der Tabelle aufgeführt.
Verkäufer
| Browser
| Motor
| Anzahl der Fehler
| Project Zero Bug IDs
|
Google
| Chrome
| Blink
| 2
| 994, 1024
|
Mozilla
| Firefox
| Gecko
| 4 ** **
| 1130, 1155, 1160, 1185
|
Microsoft
| Internet Explorer
| Dreizack
| 4
| 1011, 1076, 1118, 1233
|
Microsoft
| Rand
| Edgehenml
| 6
| 1011, 1254, 1255, 1264, 1301, 1309
|
Apple
| Safari
| Webkit
| 17
| 999, 1038, 1044, 1080, 1082, 1087,
1090, 1097, 1105, 1114, 1241, 1242,
1243, 1244, 1246, 1249, 1250
|
Insgesamt
| 31 *
|
* Zwei Fehler beziehen sich auf zwei Browser, daher beträgt die Gesamtzahl 31 und nicht 33, wie aus der Summe der Zahlen in der Spalte hervorgeht
** Einer der Fehler befindet sich tatsächlich in der Skia-Grafikbibliothek und nicht im Quellcode von Firefox. Da dieser Code jedoch von Firefox-Entwicklern zum Browser hinzugefügt wurde, kann er in der Tabelle berücksichtigt werdenDomato wurde speziell entwickelt, um Fehler in Browser-DOM-Engines zu öffnen. DOM-Engines sind Teil der Rendering-Engine in jedem Browser, und in diesem Teil werden häufig viele Fehler versteckt. Gelegentlich werden sie sogar von besonders fortgeschrittenen Angreifern eingesetzt, auch von staatlichen Geheimdiensten. Zum Beispiel war es ein Fehler in der Firefox-DOM-Engine, dass die speziellen Dienste einen böswilligen
Exploit für den Tor-Browser erstellten . Der Exploit wurde im November letzten Jahres von Sicherheitsexperten entdeckt. Genauer gesagt, wie sie herausfanden: Er ist
versehentlich aus Exodus Intel
ausgetreten , das sich auf den Kauf und die Entwicklung von Exploits spezialisiert hat, um sie an Geheimdienste und Strafverfolgungsbehörden aus verschiedenen Ländern weiterzuverkaufen.
Die Jungs von Google kämpfen traditionell mit solchen Methoden der staatlichen Überwachung. Vielleicht kam dieser Fall mit dem Tor-Browser auf die Idee, einen Fuzzer zu erstellen, um Schwachstellen in DOM-Engines zu identifizieren. Sein Autor war der berühmte Hacker Ivan Fratric. Aber auch ohne diesen Fall war die Erstellung eines solchen Tools offensichtlich: Fratrich schreibt, dass ein seltenes Sicherheitsupdate für einige Browser ohne das Schließen von Fehlern in der DOM-Engine auskommt, sie sind so häufig. Früher gehörte der Titel des Hauptlochs Flash, aber da diese Technologie aufgegeben wird, wird dieser Titel schrittweise in die DOM-Engine verschoben.
Jetzt hat
Fratrich Domato öffentlich zugänglich gemacht, mit der Erwartung, dass andere dieses nützliche Tool verbessern werden. Übrigens zahlen fast alle großen Anbieter für die gefundenen Sicherheitslücken, sodass Sie mit einem guten Fuzzer viele tausend Dollar verdienen können.
Während eines Browsertests, dessen Ergebnisse oben angegeben sind, bestand das Fuzzing darin, zufälligen Code zu generieren und ihn an den Browser zu senden, in der Hoffnung, dass er abstürzen würde, und so ungefähr 100 Millionen Mal. Laut Fratrich würde ein Fuzzing dieser Größenordnung in der Google Compute Engine-Cloud etwa 1.000 US-Dollar kosten.
Fazzer fand ungefähr die gleiche Anzahl von Fehlern in Chrome, Firefox, Internet Explorer und Edge, aber viel mehr Fehler in Safari, die sich von den anderen abheben. Im Moment sind alle diese Fehler geschlossen, da Apple im Voraus Zugriff auf Domato erhielt, indem ein Project Zero-Teammitglied eingestellt wurde, das Ivan bat, ihn den Fuzzer verwenden zu lassen (früher bot Fratrich ihn Apple aufgrund der großen Anzahl von Fehlern in Safari an, aber das Unternehmen ist stolz abgelehnt). Fratrich schreibt, dass zu viele Fehler in Safari angesichts des Interesses von Cyberkriminellen an dieser Plattform besonders alarmierend sind, was sich in Exploit-Preisen und jüngsten gezielten Angriffen zeigt.
Es ist auch interessant, die Anzahl der Fehler in den Browsern Chrome und Safari zu vergleichen, die vor einigen Jahren mit derselben WebKit-Engine gearbeitet haben, bis Google sie gabelte und Blink erstellte. Anscheinend wurde seit der Abzweigung im Jahr 2013 eine große Anzahl von Fehlern in der Blink-Engine beseitigt oder eine große Anzahl von Fehlern zur WebKit-Engine hinzugefügt.
Ivan Fratrich würdigte auch die Entwickler von Microsoft, die einen Garbage Collector im
MemGC- Speicher erstellt haben, um sich vor Exploits zu schützen, die Fehler wie "Use-After-Free" verwenden. Die Funktion ist in Edge und Internet Explorer 11 integriert. Der MemGC-Effekt ist offensichtlich: Wenn Sie diese Funktion über das Flag OverrideMemoryProtectionSetting deaktivieren, werden viel mehr Fehler erkannt, die tatsächlich im Code vorhanden sind.