09.03.2012 16:26
Google beeilt sich mit Chrome-Update
Google hat die während des Hacking-Wettbewerbs Pwnium entdeckten Chrome-Lücken kurzfristig geschlossen und verteilt die fehlerbereinigte Version 17.0.963.78 nun als automatisches Update. Von dem Bug-Report des Pwnium-Teilnehmers Sergey Glazunov bis zur Bereitstellung des Update vergingen nicht mal 24 Stunden – offensichtlich ist sich Google des Medieninteresses bewusst, das der Fund ausgelöst hat.
Google lässt bei dem Sicherheitsexperten Sergey Glazunov die Kasse klingeln.
Bild: heise Security
Glazunov ist ein seltenes Kunststück gelungen: Mit seinem selbst entwickelten Exploit konnte er, offenbar unter Ausnutzung mehrerer durch ihn entdeckter Schwachstellen, erfolgreich aus der Chrome-Sandbox ausbrechen und Code auf dem Rechner ausführen. Chrome gilt vor allem wegen seiner Sandbox-Funktionen derzeit als sicherster Browser. Details, wie der Ausbruch gelang, halten beide Parteien noch unter Verschluss. Für seine Entdeckung kassiert der Sicherheitsexperte einer Siegprämie in Höhe von 60.000 US-Dollar.
Bislang ließ Google lediglich durchsickern, dass es etwas mit Universal Cross-Site-Scripting (UXSS) und dem Browserverlauf ("bad history navigation") zu tun hat. Die Erwähnung von UXSS könnte darauf hindeuten, dass es Glazunov geschafft hat, JavaScript-Code mit den Rechten des angemeldeten Nutzers auszuführen. Herkömmliches Cross-Site-Scripting (XSS) missbraucht Sicherheitslücken in Web-Anwendungen; bei Universal XSS nutzt der Angreifer Sicherheitslücken des Browsers aus, um seinen Code im falschen Sicherheitskontext auszuführen – etwa in dem des lokalen Systems.
Den von Sicherheitsfirma Vupen demonstrierten Chrome-Exploit hat Google unterdessen noch nicht kommentiert. Gegenüber ars technica ließ das Unternehmen durchblicken, dass dies durch die Kombination zweier Sicherheitslücken gelang. Während Vupen die Windows-eigenen Schutzfunktionen Datenausführungsverhinderung (DEP) sowie Speicherverwürfelung (ASLR) durch einen Zugriff auf einen freigegebenen Speicherbereich (use-after-free) austricksen konnte, gelang der Ausbruch aus der Sandbox erst über eine Schwachstelle in einem nicht näher genannten Plugin der Standardinstallation. Wahrscheinlich handelt es sich dabei um den Flash-Player, den Vupen in der Vergangenheit bereits für eine ähnliche Demonstration genutzt hat.
(rei)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
