Hanno Böck arbeitet zugleich als Journalist und als IT-Sicherheitsforscher. Er hat mehrere Sicherheitslücken an Mozilla gemeldet. Dafür hat er Geld bekommen.
Auf der Webseite von Mozilla findet man eine Liste der Sicherheitslücken, die den Firefox-Browser in jüngster Zeit plagten. Mehrmals im Monat werden bei Mozilla solche Lücken vermeldet, allein in diesem Jahr waren es bereits 58. Nutzer, die ihren Browser nicht regelmäßig updaten und auf die falschen Webseiten surfen, können sich darüber Schadsoftware einfangen. Mozilla steht mit den Sicherheitslücken nicht alleine da, das Problem betrifft alle modernen Webbrowser, also auch Chrome, Safari und Internet Explorer. Doch Mozilla will das Problem nun lösen.
Es ist ein Plan, mit dem die gemeinnützige Stiftung einen Großteil der Sicherheitslücken in Zukunft verhindern will. Die Firma arbeitet deshalb an einem neuen Browser mit dem Namen Servo. Dafür wird eine komplett neue Programmiersprache verwendet, die ebenfalls von Mozilla entwickelt wurde.
C war damals revolutionär, heute gilt sie als Risiko
Ein großer Teil der Sicherheitslücken in Browsern hängt mit der Programmiersprache C++ zusammen, in der alle modernen Browser geschrieben sind. C++ ist der Nachfolger der Programmiersprache C. Sie wurde in den 70er Jahren (von Dennis Ritchie in den Bell Labs von AT&T) entwickelt. Für die damalige Zeit war C revolutionär, doch heute sehen viele Fachleute in der alten Programmiersprache vor allem ein Sicherheitsrisiko.
Ein prominentes Beispiel für diese Probleme ist der Heartbleed-Bug, der im vergangenen Jahr im Verschlüsselungstool OpenSSL gefunden wurde. Der Hintergrund: Die Speicherverwaltung von C ist relativ simpel gestrickt, es passiert Programmierern leicht, dabei Fehler zu machen. Versucht etwa ein Programmierer, zu viele Daten aus einem Speicherbereich zu lesen, beispielsweise ein Stück Text oder ein Bild, verweigert das Programm nicht etwa den Dienst, sondern es greift schlicht auf zusätzliche Daten im Speicher zu, die mit dem aktuellen Vorgang überhaupt nichts zu tun haben. Genau das ist bei Heartbleed passiert. Programmierer sprechen hier von einem Pufferüberlauf oder Buffer Overflow.
Um derartige fehlerhafte Speicherzugriffe zu verhindern muss sorgfältig geprüft werden, ob die Daten, die ein Programm lesen oder schreiben möchte, überhaupt in den passenden Speicher passen. Häufig versäumen Programmierer, derartige Checks einzubauen. Angreifer können dies ausnutzen und mittels fehlerhafter Eingabedaten ein Programm zu unerwünschtem Verhalten zwingen. Im Falle eines Browsers könnte dies etwa bedeuten, dass eine bösartige Webseite oder auch nur ein darauf vorhandenes Werbebanner durch Ausnutzung derartiger Fehler einen Virus installieren kann.