Menü
Alert!

Sicherheits-Update für Googles Chrome

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 71 Beiträge
Von

Google hat das Sicherheits-Update 1.0.154.59 für seinen Browser Chrome veröffentlicht, um kritische Sicherheitslücken zu schließen. Ursache der Probleme ist die fehlerhafte Verarbeitung der Chrome-spezifischen URI chromehtml: – allerdings nur, wenn sie mit dem Internet Explorer aufgerufen wird. So führt die Verarbeitung des JavaScript-Befehls

document.location = 'chromehtml:"80 javascript:eval('alert(\'JavaScript%20Code%20Executed\'); '));'

im Internet Explorer dazu, dass Chrome mit zwei Tabs gestartet wird und in einem davon das eingefügte JavaScript ausführt. Allerdings ist das Skript keiner Domain zugeordnet, sodass sich damit laut Beschreibung in Zusammenhang mit einer weiteren Schwachstelle die Same-Origin-Policy umgehen lässt und der Zugriff auf andere Domains möglich ist. Die Entwickler bezeichnen die Lücke in ihrem Bericht als Universal Cross Site Scripting (UXSS), da es sich auf beliebige Seiten respektive Domain anwenden lässt.

Angreifer könnten auf diese Weise Anwendern die Cookies auslesen und Phishing-Attacken durchführen. Der Angriff funktioniert aber nur, wenn Chrome nicht bereits läuft. Bei den Vorabversionen von Chrome 2.0 soll der beschriebene Angriff nicht funktionieren. Die Updates für die Version 1.x sind über die Funktion "Google Chrome anpassen/Info zu Google Chrome" zu beziehen.

Bereits im Februar ergab sich aus der Parallelinstallation von Internet Explorer und Chrome ein Sicherheitsproblem. Damals war es möglich, Befehle auf einem verwundbaren Windows-System auszuführen und Programme zu starten.

Siehe dazu auch:

(Daniel Bachfeld) / (dab)