Onderzoekers van de Vrije Universiteit Amsterdam hebben een nieuwe manier gedemonstreerd om de aslr-beveiliging van Windows via JavaScript te omzeilen. Address space layout randomization (aslr) moet het lastiger voor aanvallers maken om kwetsbaarheden in software te misbruiken.

In het verleden hebben aanvallers al aangetoond dat bijvoorbeeld een lokale aanvaller aslr kan omzeilen. In het geval van de browser wordt alsr nog altijd als een goede beveiliging gezien, zo stellen de onderzoekers. Ze hebben echter een aanval ontwikkeld genaamd AnC waarbij eigenschappen van moderne processoren worden gebruikt om aslr via alleen JavaScript te omzeilen, zonder van enige andere softwarefunctie gebruik te maken.

De onderzoekers besloten de kwetsbaarheid met het Nationaal Cyber Security Center (NCSC) van de overheid te coördineren. "Dit was een uitdagend proces", stellen ze, aangezien de ontwikkelaars van besturingssystemen en browsers en fabrikanten van processoren hierbij waren betrokken. Sommige processorfabrikanten stelden zelfs dat aslr niet langer als beveiligingsmaatregel voor browsers moet worden gezien.

Volgens de onderzoekers kunnen gebruikers zich niet eenvoudig tegen dergelijke aanvallen beschermen, aangezien er van fundamentele eigenschappen van de processor gebruik wordt gemaakt. Wel kunnen gebruikers onbetrouwbare JavaScript-code op websites blokkeren, bijvoorbeeld via de Firefox-uitbreiding NoScript. Daarnaast moet de AnC-aanval worden gecombineerd met een kwetsbaarheid in bijvoorbeeld de browser of browserplug-in. Dergelijke aanvallen zijn in veel gevallen te voorkomen door het installeren van beveiligingsupdates.