Menü
Security

Exploit für Sicherheitslücke in Google Chrome [Update]

Von
vorlesen Drucken Kommentare lesen 341 Beiträge

Für eine gerade erst entdeckte kritische Sicherheitslücke in Googles Webbrowser Chrome ist bereits ein Demo-Exploit aufgetaucht, mit dem sie sich aktiv ausnutzen lässt. Das Security Vulnerability Research Team des vietnamesischen Bkis entdeckte die Lücke: Beim Speichern einer HTML-Seite mittels "Saves as" oder "Speichern als" gibt es einen Buffer Overflow bei zu langem Namen der Titelleiste respektive zu langen Title-Tags. Durch die Lücke können Angreifer beliebigen Code einschleusen und zur Ausführung bringen. Betroffen ist Google Chrome 0.2.149.27. Nach Angaben der Entdecker der Lücke ist Google bereits informiert und hat den Fehler bestätigt.

[Update] Im aktuellen Chrome-Build 0.2.149.29 ist der Fehler bereits behoben. Chrome-Anwender können herausfinden, welchen Build sie einsetzen, indem sie auf den Schraubenschlüssel neben der Adressleiste klicken und dort "About Google Chrome" auswählen. Ist die installierte Revision nicht mehr aktuell, macht Chrome im Fenster links unten auf eine neuere Version aufmerksam. [/Update]

Mit der Vorgehensweise bei der Veröffentlichung seines Webbrowsers Chrome macht sich Google anscheinend keine Freunde unter Sicherheitsexperten – zumal bereits zuvor Schwachstellen entdeckt wurden, die kombiniert zu einer Sicherheitslücke anwachsen, in den von Google benutzten Softwarekomponenten aber bereits korrigiert wurden. Kritisiert wird nun unter anderem die Aufweichung des Begriffs "Beta-Version", wenn ein Konzern wie Google einen Webbrowser zwar als Beta deklariert, dies aber wie bei den oft lange Zeit als Beta deklarierten Google-Diensten kaum einen Unterschied zu als fertig freigegebenen Diensten oder Software zu manifestieren scheint. Normale Anwender würden durch solche Vorgehensweisen daran gewöhnt, Beta-Software wie fertige Anwendungen zu behandeln.

Auch soll Google selbst den Browser bei den eigenen Produktivsystemen einsetzen; der Konzern hat ihn zudem ohne größere Warnung oder Einschränkungen millionenfach an normale Anwender verteilt – und sie dann mit kritischen Sicherheitslücken und Fehlern erst einmal ungeschützt Angriffen durch Cyberkriminelle ausgesetzt. Zwar veranstalten auch andere Konzerne wie Microsoft oder auch Projekte aus der Open-Source-Szene öffentliche Beta-Tests – immerhin aber wird dann deutlicher auf die Gefahren des Beta-Status hingewiesen, als dies Google bei Chrome gemacht hat. Zudem sind bereits bekannte Sicherheitslücken in den Beta-Versionen im Allgemeinen geschlossen, außerdem sind in der Regel stabile Vorgängerversionen zu den Betas verfügbar.

In diese Kerbe haut auch das Bundesamt für Sicherheit in der Informationstechnik (BSI): Es sei problematisch, dass Google ein Produkt in der Testversion aufgrund seiner Marktmacht einer breiten, zum Teil technisch wenig versierten Öffentlichkeit zugänglich mache, sagte BSI-Sprecher Matthias Gärtner gegenüber der Berliner Zeitung. Chrome sei zwar "bequem, aber kritisch", nicht nur weil das Programm noch nicht ausgereift ist, sondern auch wegen der Datensammelwut von Google. "Google Chrome sollte nicht für den allgemeinen Gebrauch eingesetzt werden", betonte Gärtner wie schon andere Sicherheitsexperten.

Siehe dazu auch:

Zu Google Chrome siehe auch:

  • Surf-Triathlon, Geschwindigkeit und Speicherverbrauch aktueller Browser, c't 19/08, S. 182

Zu Google und seiner Vormachtstellung siehe auch:

(jk)