Forscher entdecken 11 tiefgreifende Sicherheitslücken in Chrome- und Firefox-Browsern

Forscher des Georgia Tech finden Sicherheitslücken in Chrome- und Firefox-Browsern

Forscher des Georgia Institute of Technology College of Computing haben 11 zuvor unentdeckte Schwachstellen in zwei der am weitesten verbreiteten Internetbrowser – Google Chrome und Mozilla Firefox – gefunden.

Die Forscher fanden diese Lücken tief im System durch eine neue Methode der Cyber-Sicherheitsanalyse.

Für ihre Bemühungen wurden sie mit dem Internet Defense Prize ausgezeichnet, einem Preis, der von Facebook in Partnerschaft mit USENIX beim 24. USENIX Security Symposium verliehen wurde, das am 14. August endete.

Die Doktoranden Byoungyoung Lee und Chengyu Song sowie die Professoren Taesoo Kim und Wenke Lee von Georgia Tech erhielten 100.000 USD von Facebook, um ihre Forschung fortzusetzen und deren Einfluss zu erhöhen, um das Internet sicherer zu machen.

Ihre Forschung mit dem Titel „Type Casting Verification: Stopping an Emerging Attack Vector“ untersucht Schwachstellen in C++-Programmen (wie Chrome und Firefox), die durch „schlechtes Casting“ oder „Typverwirrung“ entstehen. Schlechtes Casting ermöglicht es einem Angreifer, den Speicher in einem Browser zu korrumpieren, sodass er einer bösartigen Logik anstelle der richtigen Anweisungen folgt. Die Forscher entwickelten ein neues, proprietäres Erkennungstool namens CAVER, um diese zu erfassen. CAVER ist ein Laufzeiterkennungstool mit 7,6 Prozent bis 64,6 Prozent Overhead auf die Browserleistung (Chrome und Firefox, jeweils).

Die 11 von Georgia Tech identifizierten Schwachstellen wurden sowohl von Mozilla als auch von Google bestätigt, und beide Browser wurden nun gepatcht.

„Es ist an der Zeit, dass die Internetgemeinschaft beginnt, die schwierigeren, tiefergehenden Sicherheitsprobleme anzugehen“, sagt Wenke Lee, Professor an der School of Computer Science und Berater des Teams. „Die Sicherheitsforschungs-Community arbeitet seit Jahrzehnten an verschiedenen Möglichkeiten, um Speicherfehler zu erkennen und zu beheben, und hat Fortschritte bei ‚Stack Overflow‘ und ‚Heap Overflow‘-Fehlern gemacht, aber diese sind mittlerweile relativ einfache Probleme geworden. Unsere Arbeit untersuchte die viel schwierigeren und tiefergehenden Fehler – insbesondere ‚use-after-free‘ und ‚schlechtes Casting‘ – und unsere Tools entdeckten ernsthafte Sicherheitsfehler in weit verbreiteter Software wie Firefox und libstdc++. Wir sind Facebook für diese Anerkennung dankbar.“

Die Forscher entwickelten ein neues, proprietäres Erkennungstool namens CAVER, um diese zu erfassen. CAVER ist ein Laufzeiterkennungstool mit 7,6 Prozent bis 64,6 Prozent Overhead auf die Leistung von Chrome und Firefox.

„Defensive Sicherheitstechnologie zu entwerfen, war noch nie so wichtig, und deshalb bieten wir erneut den Internet Defense Prize an, um hochwertige Forschung in diesem Bereich zu stimulieren“, sagte Ioannis Papagiannis, Sicherheitsingenieur bei Facebook. „Die neuartige Technik des Georgia Tech-Teams zur Erkennung von schlechten Typ-Casts in C++-Programmen ist die Art von herausragendem Ansatz, die wir fördern möchten. Wir freuen uns darauf, zu sehen, was das Team als Nächstes tut, um einen breiteren Einfluss zu schaffen und die Sicherheit im Internet zu verbessern.“ „Der preisgekrönte Beitrag von Georgia Tech exemplifiziert die bahnbrechende Sicherheitsforschung, die zum Markenzeichen des USENIX Security Symposiums geworden ist“, sagte Casey Henderson, Geschäftsführerin der USENIX Association. „Ihre bahnbrechende Arbeit stach unter den vielen herausragenden Einsendungen hervor, die vom USENIX Security Awards Committee und Facebook bewertet wurden. Wir freuen uns auf ihren fortgesetzten Fortschritt, der durch den Internet Defense Prize im kommenden Jahr ermöglicht wird.