Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Onderzoeksteam van de Vrije Universiteit presenteert aanvalstechniek ASLR

Nieuws | 15-02-2017

Onderzoekers van de Vrije Universiteit (VU) publiceren vandaag een onderzoek waarin wordt beschreven hoe de beveiligingsmaatregel Address Space Layout Randomization (ASLR) kan worden omzeild in lokale applicaties. Hierbij heeft het onderzoeksteam specifiek gekeken naar mogelijkheden om de aanvalstechniek toe te passen vanuit webbrowsers, door middel van JavaScript.

ASLR is een verdedigingsmethode die helpt om het uitbuiten van geheugenkwetsbaarheden moeilijker te maken. Volgens de onderzoekers van de VU toont dit onderzoek aan dat ASLR fundamenteel ondermijnd is en niet meer te vertrouwen is als ‘first line of defense’.

Deze aanvalstechniek kan momenteel alleen voorkomen worden door het installeren van softwarepatches die timing bugs mitigeren en door het gebruiken van plugins zoals NoScript, die niet vertrouwde JavaScript blokkeren. Meer informatie over de aanvalstechniek en het onderzoek van de VU vindt u hier: https://www.vusec.net/projects/anc/.

Het NCSC heeft onderzoekers van de Vrije Universiteit bijgestaan in het proces van Coordinated Vulnerability Disclosure. Vanuit haar coördinerende rol op het gebied van cybersecurity heeft het NCSC nationaal en internationaal partijen geïnformeerd zodat zij maatregelen konden nemen. Het beveiligingsadvies van het NCSC is hier te vinden: https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2017-0125+1.00+Kwetsbaarheid+ontdekt+in+meerdere+processoren.html

Het onderzoeksteam van de VU presenteert het onderzoek tijdens de Network and Distributed System Security Symposium conferentie (NDSS) te San Diego (26 februari t/m 1 maart 2017).

Over het NCSC

NCSCstill

CSBN 2016

CSBN 2016