Browser

Bereits in einem früheren Blogeintrag verlinkte ich auf ein sehr gutes Video in dem verschiedenste Angriffsvektoren von Client basierenden Angriffen (Client Side Attacks) dargestellt werden. In diesem Blogeintrag wird die Anwendung bzw. Umsetzung eines Angriffs auf eine Schwachstelle des Internet Explorers vorgeführt. Die Schwachstelle wird im Microsoft Security Bulletin MS09-002 detailliert beschrieben und stellt einen direkten Angriff auf den Client (in diesem Fall auf den Browser) dar. Wie aus dem Bulletin erkennbar ist, wird die Schwachstelle von Microsoft kritisch eingestuft da sie sich unter Umständen zur Ausführung von Schadcode eignen soll.

Folgender Screencast stellt die Schwachstelle an einem Laboraufbau detailliert dar:

Bei der Durchführung von Sicherheitsaudits ist der Browser mittlerweile zu einem der wichtigsten Tools geworden! Wenn man sich ansieht was man aus einem handelsüblichen Firefox mit weiteren, kostenlosen Plugins so machen kann ist das auch nicht weiter Verwunderlich.