{"id":956,"date":"2009-04-25T21:47:05","date_gmt":"2009-04-25T19:47:05","guid":{"rendered":"http:\/\/wallaby.at\/news\/?p=956"},"modified":"2009-07-22T22:52:39","modified_gmt":"2009-07-22T20:52:39","slug":"google-chrome-massive-sicherheitsl%c3%bccke-geschlossen","status":"publish","type":"post","link":"https:\/\/wallaby.de\/news\/suchmaschine\/google-chrome-massive-sicherheitsl%c3%bccke-geschlossen-p956.html","title":{"rendered":"Google Chrome &#8211; Massive Sicherheitsl\u00fccke geschlossen"},"content":{"rendered":"<div class=\"entry-content\" itemprop=\"text\">\n<h2>Angriffe &uuml;ber Domainbarriere hinaus nicht mehr m&ouml;glicah<\/h2>\n<p>Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 f&uuml;r den Browser Chrome ver&ouml;ffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group http:\/\/blog.watchfire.com hat bereits am 8. April auf gravierende Sicherheitsl&uuml;cken hingewiesen. Die M&auml;ngel des Browsers haben domain&uuml;bergreifende Scripting-Attacken erm&ouml;glicht. &quot;Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgen&uuml;tzt, wenn der Aufruf mit dem Internet Explorer erfolgte&quot;, sagte Mark Larson, Google Chrome Program Manager. Die Verarbeitung von JavaScript im Internet Explorer hat dazu gef&uuml;hrt, dass Chrome mit zwei Tabs ge&ouml;ffnet und der eingebettete Schadcode in einem der beiden Tabs ausgef&uuml;hrt wird. Dies erm&ouml;glichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains. &quot;Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-&uuml;bergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu ver&auml;ndern&quot;, sagt Candid W&uuml;est, Virenforscher von Symantec http:\/\/www.symantec.com.<\/p>\n<p><!--more--><\/p>\n<p>&quot;Angreifer ben&ouml;tigen jedoch immer einen berechtigten Benutzer von Webanwendungen. Mit dem Einsatz von Skripten oder auf dem Wege von Social Engineering wird aus dem Webbrowser des Opfers ohne dessen Wissen eine HTTP-Anfrage an die Webanwendung gerichtet&quot;, erkl&auml;rt W&uuml;est. Browser der neuesten Generation w&uuml;rden zwar mehr Security-Features aufweisen, Cross-Side-Scripting k&ouml;nne jedoch nur &uuml;ber eine vollst&auml;ndige Trennung von Websessions in den Griff bekommen werden, meint W&uuml;est. Wenn User neben der Abwicklung ihrer Internetbanking-Gesch&auml;fte noch zahlreiche andere Websites besuchen, k&ouml;nne ein CSRF-basierter Angriff nicht ausgeschlossen werden.  Datenklau ist in vielen F&auml;llen auf die Ausf&uuml;hrung eines in Webseiten oder Dateien eingebetteten Schadcodes zur&uuml;ckzuf&uuml;hren (pressetext berichtete: http:\/\/pressetext.at\/news\/090422035\/ ), wobei es sich zumeist um JavaScript-Programme handelt. &quot;Eine Deaktivierung von JavaScript im Browser sch&uuml;tzt nur bedingt. Gefahren wie Drive-by-Downloads k&ouml;nnen auf diese Weise jedoch wirksam einged&auml;mmt werden&quot;, so W&uuml;est weiter. Die Infizierung seri&ouml;ser Webseiten mit schadbringendem Code ist ein weiteres Problem. Potentieller Schaden kann nicht mehr nur durch den Aufruf von dubiosen Sites angerichtet werden. Eine verst&auml;rkte Nutzung von Webdiensten ist allgemein feststellbar. Online-Backups und Textverarbeitung &uuml;ber Webdienste liegen voll im Trend, bergen aber auch neue Gefahren f&uuml;r User in sich, hei&szlig;t es bei Symantec. (Mountain View, Kalifornien, pte\/24.04.2009\/16:30)<\/p>\n\n\n<\/div>\n","protected":false},"excerpt":{"rendered":"<div class=\"entry-summary\" itemprop=\"text\">\n<p>Angriffe &uuml;ber Domainbarriere hinaus nicht mehr m&ouml;glicah Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 f&uuml;r den Browser Chrome ver&ouml;ffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group http:\/\/blog.watchfire.com hat bereits am 8. April auf gravierende Sicherheitsl&uuml;cken hingewiesen. Die M&auml;ngel des Browsers haben domain&uuml;bergreifende Scripting-Attacken erm&ouml;glicht. &quot;Angreifer haben eine falsche Verarbeitung der URI chromehtml: &#8230;<\/p>\n\n<\/div>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[27,31,195],"_links":{"self":[{"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/posts\/956"}],"collection":[{"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/comments?post=956"}],"version-history":[{"count":1,"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/posts\/956\/revisions"}],"predecessor-version":[{"id":1459,"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/posts\/956\/revisions\/1459"}],"wp:attachment":[{"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/media?parent=956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/categories?post=956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wallaby.de\/news\/wp-json\/wp\/v2\/tags?post=956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}