Kulturnews für Ihre eigene Website
| |
Freitag, 24. April 2009 / 16:56:27Google schliesst massive Sicherheitslücke bei ChromeMountain View - Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 für den Browser Chrome veröffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group hat bereits am 8. April auf gravierende Sicherheitslücken hingewiesen.Die Mängel des Browsers haben domainübergreifende Scripting-Attacken ermöglicht. «Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgenützt, wenn der Aufruf mit dem Internet Explorer erfolgte», sagte Mark Larson, Google Chrome Program Manager. Die Verarbeitung von JavaScript im Internet Explorer haben dazu geführt, dass Chrome mit zwei Tabs geöffnet und der eingebettete Schadcode in einem der beiden Tabs ausgeführt wird. Dies ermöglichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains. Angreifer benötigen immer berechtigten Nutzer «Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-übergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu verändern», sagt Candid Wüest, Virenforscher von Symantec. «Angreifer benötigen jedoch immer einen berechtigten Benutzer von Webanwendungen. Mit dem Einsatz von Skripten oder auf dem Wege von Social Engineering wird aus dem Webbrowser des Opfers ohne dessen Wissen eine HTTP-Anfrage an die Webanwendung gerichtet», erklärt Wüest. Oft ist es der Schadcode Browser der neuesten Generation würden zwar mehr Security-Features aufweisen, Cross-Side-Scripting könne jedoch nur über eine vollständige Trennung von Websessions in den Griff bekommen werden, meint Wüest. Wenn User neben der Abwicklung ihrer Internetbanking-Geschäfte noch zahlreiche andere Websites besuchen, könne ein CSRF-basierter Angriff nicht ausgeschlossen werden. Datenklau ist in vielen Fällen auf die Ausführung eines in Webseiten oder Dateien eingebetteten Schadcodes zurückzuführen, wobei es sich zumeist um JavaScript-Programme handelt. «Eine Deaktivierung von JavaScript im Browser schützt nur bedingt. Gefahren wie Drive-by-Downloads können auf diese Weise jedoch wirksam eingedämmt werden», so Wüest weiter. Neue Gefahren Die Infizierung seriöser Webseiten mit schadbringendem Code ist ein weiteres Problem. Potentieller Schaden kann nicht mehr nur durch den Aufruf von dubiosen Sites angerichtet werden. Eine verstärkte Nutzung von Webdiensten ist allgemein feststellbar. Online-Backups und Textverarbeitung über Webdienste liegen voll im Trend, bergen aber auch neue Gefahren für User in sich, heisst es bei Symantec.
tri (Quelle: pte)
In Verbindung stehende Artikel: Browser im Test: Google Chrome 2 Montag, 25. Mai 2009 / 10:19:36 Google-Browser Chrome offiziell fertig Freitag, 12. Dezember 2008 / 13:27:12 Auch Schweizer Datenschutz warnt vor Google Chrome Dienstag, 9. September 2008 / 14:52:33 |
|
.info Domain |
|
|
kulturreport.ch ist ein Projekt der VADIAN.NET AG. Die Meldungen stammen von news.ch, der Schweizerischen Depeschenagentur (SDA) und weiteren Presseagenturen. Diese Nachrichten-Artikel sind nur zum persönlichen Gebrauch bestimmt. Vervielfältigung, Publikation oder Speicherung der Daten in Datenbanken, jegliche kommerzielle Nutzung sowie die Weitergabe an Dritte sind nicht gestattet. Wir liefern auf Anfrage auch vollautomatisiert