Google Chrome – Massive Sicherheitslücke geschlossen

Angriffe über Domainbarriere hinaus nicht mehr möglicah

Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 für den Browser Chrome veröffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group http://blog.watchfire.com hat bereits am 8. April auf gravierende Sicherheitslücken hingewiesen. Die Mängel des Browsers haben domainübergreifende Scripting-Attacken ermöglicht. "Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgenützt, wenn der Aufruf mit dem Internet Explorer erfolgte", sagte Mark Larson, Google Chrome Program Manager. Die Verarbeitung von JavaScript im Internet Explorer hat dazu geführt, dass Chrome mit zwei Tabs geöffnet und der eingebettete Schadcode in einem der beiden Tabs ausgeführt wird. Dies ermöglichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains. "Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-übergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu verändern", sagt Candid Wüest, Virenforscher von Symantec http://www.symantec.com.

"Angreifer benötigen jedoch immer einen berechtigten Benutzer von Webanwendungen. Mit dem Einsatz von Skripten oder auf dem Wege von Social Engineering wird aus dem Webbrowser des Opfers ohne dessen Wissen eine HTTP-Anfrage an die Webanwendung gerichtet", erklärt Wüest. Browser der neuesten Generation würden zwar mehr Security-Features aufweisen, Cross-Side-Scripting könne jedoch nur über eine vollständige Trennung von Websessions in den Griff bekommen werden, meint Wüest. Wenn User neben der Abwicklung ihrer Internetbanking-Geschäfte noch zahlreiche andere Websites besuchen, könne ein CSRF-basierter Angriff nicht ausgeschlossen werden. Datenklau ist in vielen Fällen auf die Ausführung eines in Webseiten oder Dateien eingebetteten Schadcodes zurückzuführen (pressetext berichtete: http://pressetext.at/news/090422035/ ), wobei es sich zumeist um JavaScript-Programme handelt. "Eine Deaktivierung von JavaScript im Browser schützt nur bedingt. Gefahren wie Drive-by-Downloads können auf diese Weise jedoch wirksam eingedämmt werden", so Wüest weiter. Die Infizierung seriöser Webseiten mit schadbringendem Code ist ein weiteres Problem. Potentieller Schaden kann nicht mehr nur durch den Aufruf von dubiosen Sites angerichtet werden. Eine verstärkte Nutzung von Webdiensten ist allgemein feststellbar. Online-Backups und Textverarbeitung über Webdienste liegen voll im Trend, bergen aber auch neue Gefahren für User in sich, heißt es bei Symantec. (Mountain View, Kalifornien, pte/24.04.2009/16:30)