Google Chrome – Massive Sicherheitslücke geschlossen
Angriffe über Domainbarriere hinaus nicht mehr möglicah
Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 für den Browser Chrome veröffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group http://blog.watchfire.com hat bereits am 8. April auf gravierende Sicherheitslücken hingewiesen. Die Mängel des Browsers haben domainübergreifende Scripting-Attacken ermöglicht. "Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgenützt, wenn der Aufruf mit dem Internet Explorer erfolgte", sagte Mark Larson, Google Chrome Program Manager. Die Verarbeitung von JavaScript im Internet Explorer hat dazu geführt, dass Chrome mit zwei Tabs geöffnet und der eingebettete Schadcode in einem der beiden Tabs ausgeführt wird. Dies ermöglichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains. "Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-übergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu verändern", sagt Candid Wüest, Virenforscher von Symantec http://www.symantec.com.