Schwachstellen in google chrome

M.o.s.c

Es handelt sich bei Googles neuem Webbrowser Chrome ja derzeit offiziell eigentlich nur um eine Beta-Version. Allerdings finden sich in dieser am gestrigen Dienstag zum Download freigegebenen Version Schwachstellen, die kombiniert zu einer Sicherheitslücke anwachsen, sodass man derzeit von größeren Tests auf Produktiv-Systemen absehen sollte. Bei Google selbst soll der Browser aber indes bereits fleißig auf Arbeitsplatzsystemen zum Einsatz kommen.

Der Sicherheitspezialist Aviv Raff hat eine Demo zur Verfügung gestellt, die das Problem vorführt. Beim Besuch der Seite wird ohne Nachfrage beim Anwender ein Java-Archiv (.jar) heruntergeladen und im Download-Ordner abgelegt – der Nutzer merkt davon nichts. Ein Klick auf den geschickt benannten Download-Button in Chrome startet dann die Java-Datei. In der Demo öffnet sich nur ein in Java geschriebenes Notepad, ein Krimineller hätte aber damit ein System kompromittieren können. Zwar ist für einen erfolgreichen Angriff eine Nutzerinteraktion notwendig, zumindest anfangs dürften aber einige unbesorgt auf die Download-Buttons klicken.
Die Demo nutzt offenbar die in Safari respektive WebKit bekannte Carpet Bomb in Kombination mit einem Fehler in Java aus. Beim als "Safari Carpet Bomb" bezeichneten Verhalten legte Safari Dateien bei Downloads standardmäßig und ohne Rückfrage auf dem Desktop ab. Zusammen mit dem Internet Explorer, der DLLs im Unterschied zu anderen Anwendungen auch auf dem Desktop sucht, ergab sich daraus ein Sicherheitsproblem. Apple hat die Carpet Bomb in neueren Versionen von WebKit ab Safari 3.1.2 entschärft, allerdings greift Chrome noch auf die verwundbare Version 525.13 zurück, die in Safari 3.1 eingesetzt wurde. Für die finale Version setzt Google hoffentlich eine aktuelle Webkit-Version ein.
Darüber stellt eine weitere Demo die angepriesene Stabilität und Integrität der Anwendung in Frage. Sie bringt den kompletten Browser zum Absturz. Google hatte behauptet, dass einzelne Webseiten oder Anwendungen in Tabs getrennt voneinander wie einzelne Prozesse in einer Art Sandbox betrieben werden. Störungen in einem Tab sollen so in anderen Tabs angezeigte Webseiten oder aktive Webapplikationen nicht beeinflussen oder stören können.
Siehe dazu auch:

Wanna get some free Chrome coffee?, Exploit von Aviv Raff
Google Chrome Browser Vulnerability, Exploit von Rishi Naran

Gruß

Schwachstellen in google chrome

Jetzt mitmachen!

Musik TV ( IPTV)

Das Vorhaben zur Vorratsdatenspeicherung: Eine Bedrohung für die Privatsphäre

Unsichtbare Bedrohung im Hola Browser: Monero-Miner bei Supply-Chain-Angriff entdeckt

Großangriff auf den Darknet-Drogenmarkt in Niedersachsen

Operation KRATOS 2: Erfolg ohne klare Zielbekanntgabe

Eine neue Bedrohung: Der adaptive KI-Wurm

Revolution oder Risiko? KI-gestützte Hörbücher im Wandel

Großrazzia gegen organisiertes Verbrechen in Sachsen-Anhalt

Wieder online: Warez-Forum Data-Load kehrt zurück nach einer unerwarteten Zwangspause

Geplante Änderungen bei der Vorratsdatenspeicherung: Ein Überblick

Premiere 24,99€ Abo

Sky Vertragsverlängerungen Sammelthread

Wie alt bist DU? :-)

Welchen Beruf habt ihr???

so Zeichnet unser Frädchen

Abmahnungen drohen weiteren Porno-Dienst-Nutzern

F-Jugend braucht hilfe

Was bedeutet euer Benutzername?

Voten für ein Bild meiner Tochter.

Web-TV Wilmaa ist da