AV-Test

Selbstschutz in Windows-Programmen

Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Wie gut schützen Software-Hersteller ihre Programme vor der Ausnutzung von Sicherheitslücken? AV-Test hat den Schutz mit DEP, ASLR und Zertifikaten untersucht.

Online-Kriminelle und Geheimdienste nutzen Schwachstellen in der Software aus, um schädlichen Code einzuschleusen. So manche Sicherheitslücke lässt sich jedoch nur schwer ausnutzen, wenn gängige Schutzmechanismen wie DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) eingesetzt werden. Manipulationen an ausführbaren Dateien können durch Signaturen erschwert werden. Doch nutzen die Software-Hersteller diese Möglichkeiten zum Selbstschutz auch?

Nutzen die Software-Hersteller die Möglichkeiten zum Selbstschutz?
Nutzen die Software-Hersteller die Möglichkeiten zum Selbstschutz?
Foto: alphaspirit - Fotolia.com

Wie schon bei den Antivirusprogrammen hat das Magdeburger AV-Test Institut Web-Browser, Office-Pakete, PDF-Betrachter, Packer, Grafik-Software und Java auf ihrem Selbstschutz untersucht. Auf den Prüfstand kamen sowohl 32- als auch 64-Bit-Versionen der Programme. Untersucht wurden PE-Dateien (Portable Executable) – das sind im Wesentlichen EXE- und DLL-Dateien sowie Systemtreiber. Außerdem haben die Tester überprüft, ob die Programmdateien mit gültigen Zertifikaten signiert sind.

Code-Signaturen, Teil 2
Code-Signaturen, Teil 2
Foto: AV-Test

Die Ergebnisse sind insgesamt ganz gut, wenn auch noch mit Luft nach oben. Bei Java ist über die Zeit eine deutliche Verbesserung zu erkennen: wurde bis Java 6 kein derartiger Schutz benutzt, ist er ab Java 7 lückenlos vorhanden. So manche Open Source Software wie 7zip oder GIMP schneidet schlechter ab als kommerzielle Programme, wobei die Browser durchaus vorbildlich sind. Der Internet Explorer ist nicht vertreten, denn er ist so tief in Windows integriert, dass eine Abgrenzung der zugehörigen Dateien schwierig ist. Bei den Office-Paketen ist das Bild recht durchwachsen. Microsoft setzt nahezu durchweg DEP und ASLR ein, während Free Office diesen Schutz gar nicht nutzt.

Die Signierung mit Microsofts Authenticode-Verfahren soll sicherstellen, dass keine manipulierten Fremddateien eingeschleust werden. Antivirus-Software kann die Zertifikate prüfen und gegebenenfalls Alarm schlagen. Ausgerechnet Microsoft selbst patzt hier: zwar sind alle zu Office 2016 gehörenden Dateien signiert, doch bei einer Datei ist das Zertifikat abgelaufen. Auch ACDsee hat zwei Dateien mit ungültigen Zertifikaten im Paket. Auch bei den Code-Signaturen ist Open Source Software wie 7zip und GIMP nachlässig, vermutlich aus Kostengründen.

AV-Test hat angekündigt, es werde diese Tests nach einiger Zeit wiederholen, um zu sehen, ob es Fortschritte gibt. Die ausführlichen Testergebnisse finden Sie auf der Website des AV-Test Instituts.

Produkt

PE-Dateien mit 32 Bit

PE-Dateien mit 64 Bit

DEP

ASLR

DEP

ASLR

PDF-Reader

Adobe Reader 2015.009.20069 (32 Bit)

100%

98,9%

100%

100%

99,7%

Adobe Reader 2015.009.20069 (64 Bit)

100%

98,9%

100%

100%

99,7%

Foxit Reader 7.2.0.0.722 (32 Bit)

88,9%

90,9%

keine Datei

keine Datei

89,9%

Foxit Reader 7.2.0.0.722 (64 Bit)

88,9%

89,7%

100%

100%

94,6%

PDF X-Change Editor 5.5.314.0 (32 Bit)

100%

100%

keine Datei

keine Datei

100%

PDF X-Change Editor 5.5.314.0 (64 Bit)

100%

100%

100%

100%

100%

Browser

Chrome 46.0.2490.71 (32 Bit)

100%

98,8%

100%

100%

99,7%

Chrome 46.0.2490.71 (64 Bit)

100%

98,5%

100%

100%

99,6%

Firefox 40.0.3 (32 Bit)

100%

100%

100%

100%

100%

Firefox 40.0.3 (64 Bit)

100%

100%

100%

100%

100%

Firefox 41.0.2 (32 Bit)

63,6%

85,2%

100%

100%

87,2%

Firefox 41.0.2 (64 Bit)

63,6%

85,2%

100%

100%

87,2%

Opera 32.0.1948.69 (32 Bit)

100%

100%

0,0%

0,0%

50,0%

Opera 32.0.1948.69 (64 Bit)

100%

100%

0,0%

0,0%

50,0%

Office-Programme

Free Office 2012 (32 Bit)

0,0%

0,0%

keine Datei

keine Datei

0,0%

Free Office 2012 (64 Bit)

0,0%

0,0%

keine Datei

keine Datei

0,0%

Libre Office 4.4.5.2 (32 Bit)

85,7%

88,3%

50,0%

0,0%

56,0%

Libre Office 4.4.5.2 (64 Bit)

85,7%

88,4%

50,0%

71,4%

73,9%

MS Office 2016 (32 Bit)

98,5%

98,7%

100%

100%

99,3%

MS Office 2016 (64 Bit)

98,4%

98,7%

100%

100%

99,3%

Open Office 4.1.1 (32 Bit)

77,4%

95,4%

0,0%

0,0%

43,2%

Open Office 4.1.1 (64 Bit)

77,4%

95,4%

0,0%

0,0%

43,2%

WPS Office 10.122 (32 Bit)

68,8%

91,1%

keine Datei

100%

86,6%

WPS Office 10.122 (64 Bit)

68,8%

91,1%

keine Datei

100%

86,6%

Packprogramme

7Zip 9.20 (32 Bit)

0,0%

0,0%

keine Datei

keine Datei

0,0%

7Zip 9.20 (64 Bit)

0,0%

0,0%

0,0%

0,0%

0,0%

WinRAR 5.21 (32 Bit)

100%

50,0%

keine Datei

100%

83,3%

WinRAR 5.21 (64 Bit)

100%

33,3%

100%

55,6%

72,2%

Java-Versionen

Java Version 5 Update 22 (32 Bit)

0,0%

0,0%

keine Datei

keine Datei

0,0%

Java Version 6 Update 45 (32 Bit)

0,0%

0,0%

keine Datei

keine Datei

0,0%

Java Version 6 Update 45 (64 Bit)

keine Datei

keine Datei

0,0%

0,0%

0,0%

Java Version 7 Update 72 (32 Bit)

100%

100%

keine Datei

keine Datei

100%

Java Version 7 Update 72 (64 Bit)

keine Datei

keine Datei

100%

100%

100%

Java Version 8 Update 60 (32 Bit)

100%

100%

keine Datei

keine Datei

100%

Java Version 8 Update 60 (64 Bit)

keine Datei

keine Datei

100%

100%

100%

Grafikprogramme

ACDSee Ultimate 8 (64 Bit)

33,3%

0,0%

100%

50,0%

45,8%

GIMP 2.8.14 (32 Bit)

0,0%

0,0%

0,0%

0,0%

0,0%

GIMP 2.8.14 (64 Bit)

0,0%

0,0%

0,0%

0,0%

0,0%

IrfanView 4.4.0 (32 Bit)

0,0%

30,0%

keine Datei

keine Datei

15,0%

IrfanView 4.4.0 (64 Bit)

keine Datei

keine Datei

100%

100%

100%

Paint.Net 4.0.6 (32 Bit)

100%

93,3%

keine Datei

100%

97,8%

Paint.Net 4.0.6 (64 Bit)

100%

92,9%

keine Datei

100%

97,6%

Hinweis zur Tabelle:
DEP ist nur bei direkt ausführbaren Dateien (EXE) sinnvoll, ASLR auch bei DLLs. Die eine oder andere 64-Bit-Software nutzt zwar 64-bittige DLLs, die EXE-Dateien sind jedoch 32-bittig. Deshalb steht in der Tabelle bei einigen Programmen "keine Datei" für 64-Bit-DEP, obwohl für 64-Bit-ASLR ein Prozentwert angegeben ist.

(PC-Welt/ad)