1033263

Pwn2Own-Gewinner will Apple bei der Bug-Suche helfen

26.03.2010 | 12:33 Uhr |

Charlie Miller, dem es in dieser Woche gelungen ist, im Rahmen des Wettbewerbs Pwn2Own auf der Sicherheitskonferenz CanSecWest via Safari über ein Macbook mit Mac-OS X 10.6 Kontrolle zu gewinnen, will Herstellern helfen, selbst Fehler in ihrer Software zu finden.

14mymac-Macbook-Sicherheit
Vergrößern 14mymac-Macbook-Sicherheit

Laut unserer Kollegen von Computerworld will Miller diesmal nicht, wie sonst üblich, die von ihm gefunden rund 20 Schwachstellen in Software von Apple, Adobe und Microsoft an die Hersteller aushändigen, sondern sie lehren, diese Fehler selbst zu finden. Miller zeigt sich von dem üblichen Vorgehen in Sachen Sicherheit genervt: "Wir finden einen Bug, sie patchen ihn. Wir finden einen weiteren Bug, sie patchen ihn wieder. Das erhöht die Sicherheit der Software nicht. Sicher, mit der zeit wird sie Stück für Stück besser, aber die Hersteller müssten größere Verbesserungen machen. Ich kann das nicht für sie tun."

Miller arbeitet mit einer Fuzzing genannten Technik. Dabei setzt sein Tool Code automatisch an verschiedene Stellen der Software ein und testet deren Reaktion darauf. Versagt die untersuchte Software an gewissen Stellen, war die Suche nach einem Bug erfolgreich. Mit seinem Fuzzer fand Miller aktuell 20 Lücken in Mac-OS X 10.6, Safari, Powerpoint und Adobe Reader, ebenso in Open Office.

Den Herstellern will Miller seine Methode nahe bringen, anstatt die konkreten Sicherheitslücken zu benennen. Miller habe die jüngsten Sicherheitslücken ohne große Anstrengung gefunden, was ihn darauf schließen lasse, die Hersteller würden bei der Entwicklung Fuzzing vernachlässigen.

0 Kommentare zu diesem Artikel
1033263