Dipl.-Inform. Carsten Eilers

Außer im IE hat Michal Zalewski mit seinem Fuzzer auch eine Reihe von Schwachstellen in verschiedenen anderen Browsern gefunden, u.a. auch in Webkit-basierten. Einer der betroffenen Hersteller hat versehentlich den Link zum Fuzzer-Verzeichnis in einem Webkit-Fehlerbericht veröffentlicht. Durch den Link geriet das Verzeichnis in Googles Index, und damit auch das Protokoll des IE-Absturzes. Der GoogleBot hat die Schwachstelle also gefunden. Nicht im Internet Explorer, sondern im Webkit-Fehlerbericht. Aber er hat ihn gefunden! Aber das ist auch schon alles, was Google damit zu tun hat.

Die Chinesen kommen...

Am 30. Dezember bemerkte Zalewski dann zwei Suchanfragen von IP-Adressen aus China, bei denen nach zwei für den betreffenden Absturz charakteristischen Funktionen gesucht wurde. Diese Funktionen, BreakAASpecial und BreakCircularMemoryReferences in der MSHTML.DLL, treten sehr wahrscheinlich in keinem anderen Kontext auf und wurden zu dem Zeitpunkt nirgendwo sonst im Internet erwähnt.

Die Besucher stöberten im Verzeichnis herum, zeigten aber kein besonderes Interesse am Fuzzer selbst. Stattdessen wurden alle im Verzeichnis zugänglichen Dateien heruntergeladen. Zalewski schloss daraus, dass die Schwachstelle Dritten bekannt ist, die nach weiteren Informationen suchen und dabei auf das Verzeichnis mit dem Fuzzer stießen. Dass bei der Kombination "IE-Schwachstelle" + "0-Day" + "China" bei einem Google-Mitarbeiter sämtliche Alarmglocken klingeln, dürfte nach der "Operation Aurora" verständlich sein.

Schuldfrage überflüssig

Die Frage, wer nun an der Schwachstelle und ihrer Veröffentlichung Schuld hat, erübrigt sich eigentlich. Erst mal entstehen Schwachstellen schon beim Programmieren und fallen nicht später auf mysteriöse Weise vom Himmel, um sich in die Programme einzuschleichen. Diese Schwachstelle hat also, wie alle anderen im Internet Explorer, ganz allein Microsoft zu verantworten.

Entdeckt wurde sie sehr wahrscheinlich mindestens zwei mal, zum einen von Michal Zalewski, zum anderen unabhängig davon von den unbekannten Dritten mit chinesischer IP-Adresse. Ob das wirklich Chinesen waren oder jemand einen Rechner mit chinesischer IP-Adresse als Proxy genutzt hat, ist dann wieder eine andere Frage. Fakt ist, dass Zalewski davon ausgeht, dass eine ausnutzbare Schwachstelle außer ihm und Microsoft Dritten bekannt ist, die sie evtl. ausnutzen werden. Das reicht ja wohl, um die Öffentlichkeit davor zu warnen.

Und veröffentlicht wurde die Schwachstelle ja eigentlich schon von dem Webkit-Entwickler, der den Link zum Fuzzer-Verzeichnis veröffentlichte. Das sich (außer den Personen mit der chinesischen IP-Adresse, die die Schwachstelle aber unabhängig davon schon kannten) niemand dafür interessierte, steht auf einem anderen Blatt.

Veröffentlichung mit Vorlaufzeit

Da Microsoft Probleme hatte, die Abstürze nachzuvollziehen, wollte Zalewski die schon seit längerem für den Januar geplante Veröffentlichung des Fuzzers erst sogar verschieben, entschied sich dann aber dagegen. Unter anderem, weil der Fuzzer in der Version vom 29. Juli 2010 die mögliche Schwachstelle aufdeckt und Microsoft genug Zeit hatte, sie zu untersuchen.

Anscheinend hat man bei Microsoft Probleme mit dem Fuzzer-Ergebnis gehabt. Die anderen betroffenen Browserhersteller waren mit dem Beheben der Abstürze und möglichen Schwachstellen schneller, haben aber auch alle noch einige kompliziertere Probleme zu lösen. Allerdings trägt das Design des Fuzzers auch dazu bei, dass die Abstürze sich teilweise nur schwer nachvollziehen lassen. Vielleicht hat man bei Microsoft aber auch nicht mit der nötigen Priorität an der Schwachstelle gearbeitet, so ganz ohne Druck von außen? Immerhin war die Schwachstelle ja niemanden bekannt und wurde nur durch einem Fuzzer gefunden, tritt bei normaler Nutzung also sehr wahrscheinlich nicht auf. Und wer rechnet schon damit, das jemand (außer Michal Zalewski) einen Fuzzer auf einen Browser ansetzt? Das ist ja vorher noch nie passiert!

Was können wir aus diesem Vorfall lernen?

Der Vorfall ist eine gute Erinnerung daran, dass alles, was man im Internet öffentlich zugänglich, gefunden werden kann. Wenn man etwas geheim halten möchte, darf man es nicht veröffentlichen. Das betrifft zum einen den Webkit-Entwickler, der den Link zum Fuzzer versehentlich veröffentlicht hat - "Erst denken, dann mailen/posten/veröffentlichen!" ist eine nicht zu verachtende Schutzmaßnahme - und zum anderen Michal Zalewski, der das Verzeichnis ja auch mit einem Passwortschutz hätte versehen können, damit nur die betroffenen Hersteller darauf zugreifen können. Dass das Passwort dann frei nach Murphy sehr wahrscheinlich auch im Fehlerbericht gelandet wäre, ist eine andere Baustelle.

Arbeitgeber und Arbeitnehmer - für immer vereint?

Das manche Personen gewisse Probleme damit haben, Menschen und ihre Arbeitgeber zu trennen, finde ich auch bedenklich. Alles, was jemand sagt oder tut, sagt oder tut er im Namen seines Arbeitgebers? Immer, also auch in seiner Freizeit? Gibt es wirklich jemanden, der so kurzsichtig ist? Und wenn ja: Sagt und tut derjenige dann auch immer brav das, was sein Arbeitgeber will - auch in seiner Freizeit, z.B. am Stammtisch?

Selbst wenn man die Aussage auf Fälle einschränkt, in denen Beruf und Hobby sich ganz oder teilweise überdecken, wird sie nicht besser. Oder ist es wirklich so unverständlich, dass jemand Spaß an seinem Beruf hat und sich auch in seiner Freizeit mit ähnlichen Themen beschäftigt? Natürlich ist das nicht immer der Fall, aber es gibt eben auch viele Menschen, die sich beruflich mit etwas beschäftigen, das sie auch privat interessiert. Und dann darf derjenige sich nicht mehr zu seinem Hobby äußern, weil das seinem Arbeitgeber angekreidet wird? Das ist... nicht mit höflichen Worten zu kommentieren.

Carsten Eilers