Sicherheit: Auch Chrome hält Hackerattacken nicht stand
Chrome-Sandbox ausgehebelt (Bild: Google)

Sicherheit Auch Chrome hält Hackerattacken nicht stand

Bei dem Hackerwettkampf Pwn2own wurde eine Sicherheitslücke in Googles Chrome ausgenutzt. Sicherheitsexperten haben das Sandbox-System von Chrome ausgehebelt. Aber auch andere Browser sind Angriffen schutzlos ausgeliefert.

Anzeige

Alljährlich findet im Rahmen der Cansecwest im kanadischen Vancouver auch der Hackerwettkampf Pwn2own statt. Jedes Jahr sind Sicherheitsexperten dazu aufgerufen, Systeme durch nicht geschlossene Sicherheitslücken unter ihre Kontrolle zu bringen. Dieses Jahr haben sich die Sicherheitsexperten von Vupen zum Ziel gesetzt, das Sandbox-System von Chrome auszuhebeln.

Es gelang ihnen, beliebigen Programmcode über den Browser auszuführen, indem über den Browser eine Webseite geöffnet wurde, auf der sich passender Schadcode befand, berichtet Ars Technica. Bei dem System handelte es sich um die 64-Bit-Version von Windows 7 mit allen verfügbaren Patches.

Im zurückliegenden Jahr hatten sich Google und Vupen darüber gestritten, ob Vupen das Sandbox-System von Chrome ausgehebelt hatte. Google widersprach dem und betonte, dass Vupen eine Sicherheitslücke im Flash-Plugin ausgenutzt hätte. Das Flash-Plugin wird bei Chrome mitgeliefert und Vupen räumte ein, dass eine Sicherheitslücke in dem Plug-in eine Rolle gespielt hätte, aber auch Sicherheitslücken in Chrome selbst gefunden wurden.

Der Vupen-Mitgründer Chaouki Bekrar erklärte Cnet.com, dass insgesamt zwei Sicherheitslücken nötig waren, um den Angriff durchführen zu können. Zunächst mussten die Windows-Schutzmechanismen ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention) umgangen werden. Eine zweite Sicherheitslücke diente dazu, aus der Chrome-Sandbox auszubrechen. Damit konnte Vupen dann den Windows-Taschenrechner öffnen, indem eine entsprechend präparierte Webseite mit Chrome besucht wurde.

Arbeit am Chrome-Angriff dauerte sechs Wochen

Bekrar wollte keine weiteren Auskünfte zu den Sicherheitslücken machen und auch nicht mitteilen, ob das Sicherheitsleck direkt in Chrome oder in einem Plugin stecken würde. Bekrar meint, dass es auch keine Rolle spiele, ob eine Sicherheitslücke im Browser selbst oder in einem mitgelieferten Plugin stecke. Entscheidend sei, dass das Sicherheitssystem von Chrome im Auslieferungszustand des Browsers ausgehebelt wurde. Das Team von Vupen war nach eigenen Angaben sechs Wochen damit beschäftigt, die Sicherheitslücken zu finden und Exploit-Code dafür zu schreiben, berichtet Cnet. Ars Technica sagte Bekrar, dass insgesamt sechs Monate daran gearbeitet wurde, die Sicherheitslecks in allen Browsern zu finden.

Bekrar betont, dass Vupen auch für alle anderen populären Browser entsprechende Attacken für den Wettbewerb entwickelt hat. Dazu gehören Firefox, der Internet Explorer und Safari. Aber Vupen wollte beweisen, dass auch Chrome nicht vor Attacken gefeit ist. Allerdings betrachtet Bekrar Chrome als den Browser mit der derzeit sichersten Sandbox-Technik am Markt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im Februar 2012 Sicherheitsempfehlungen für eine sichere Konfiguration von Windows-Computern gegeben. Dabei wurde als einziger Browser Chrome empfohlen.

Google zahlt 60.000 US-Dollar für gemeldete Sicherheitslücke

Unabhängig von der Vupen-Entdeckung hat der Sicherheitsfachmann Sergey Glazunov eine Sicherheitslücke in Chrome gefunden. Google hat eine Belohnung für gefundene Sicherheitslücken in Chrome ausgelobt und zahlt dafür nun 60.000 US-Dollar. Die betreffende Sicherheitslücke in Chrome soll schon bald mit einem Update beseitigt werden. Die komplette Belohnungssumme hat Google auf 1 Million US-Dollar festgelegt, so dass noch 940.000 US-Dollar für die Finder weiterer Sicherheitslücken in Chrome zur Verfügung stehen.

Nachtrag vom 9. März 2012, 9:46 Uhr

In der ersten Version des Artikels wurde versehentlich Sergey Glazunov zur Vupen-Gruppe gezählt. Tatsächlich wurde das von Google mit 60.000 US-Dollar honorierte Sicherheitsleck in Chrome von Glazunov entdeckt und an Google gemeldet. Google hat bereits ein Update für Chrome veröffentlicht, mit dem dieses Sicherheitsloch geschlossen wird.


benji83 11. Mär 2012

Wenn sich aber keine Tür ohne Schlagschlüssel öffnen wird und sich entsprechende...

ip (Golem.de) 09. Mär 2012

stimmt, da ist leider was durcheinander geraten. Der Artikel wurde korrigiert.

Mister Tengu 09. Mär 2012

Ja, aber warum?

SoniX 08. Mär 2012

Ah ok. Alles klar. Thx :-)

Uschi12 08. Mär 2012

1. Ja, Google hat viele Entwickler, aber nicht alle sind für Chrome zuständig. 2. Die...

Kommentieren



Anzeige

  1. Mitarbeiter / innen für den IT-Bereich
    Landeshauptstadt München, München
  2. Web Designer (m/w)
    PRODINGER|GFB Tourismusmarketing, München
  3. (Senior-)Berater (m/w) SAP CRM
    Capgemini Deutschland GmbH, verschiedene Standorte
  4. Softwaretester / Testautomatisierer (m/w)
    TONBELLER AG, Bensheim

 

Detailsuche


Folgen Sie uns
       


  1. Photokina 2014

    Olympus stellt Open-Source-Kamerakonzept vor

  2. Neue iPhone-Modelle

    Apple hofft auf Android-Umsteiger

  3. Freies Betriebssystem

    Minix 3.3.0 läuft auf ARM

  4. Imsi-Catcher

    Catch me if you can

  5. Peering

    Netflix streamt mit 100 Gigabit nach Deutschland

  6. Totem

    VR-Headset mit Kameras und auch für Konsolen

  7. Eigene Tasten-Switches

    Logitech bringt Gaming-Tastatur für 180 Euro

  8. Assassin's Creed Unity

    Killer im Koop

  9. Mittelformatkamera H5D-50c

    Hasselblad mit WLAN

  10. Angelbird SSD2Go Pocket im Test

    Quadratisch, praktisch, schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de



Ultra High Definition: Scharf allein ist nicht genug
Ultra High Definition
Scharf allein ist nicht genug
  1. Ifa Vodafone Deutschland und Cisco bringen 4K-Set-Top-Box
  2. Alpentab Wienerwald Das Holztablet mit Bay Trail oder als Nobelversion
  3. Dell UltraSharp 27 Ultra HD 5K 27-Zoll-Monitor mit 5.120 x 2.880 Pixeln

Amazons Fire Phone im Kurztest: Überzeugendes Bedienungskonzept und clevere Funktionen
Amazons Fire Phone im Kurztest
Überzeugendes Bedienungskonzept und clevere Funktionen
  1. Trade-In Amazon.de kauft gebrauchte Smartphones und Tablets an
  2. Vor dem Netflix-Marktstart Amazons Video-Streaming-App für Android ist da
  3. Set-Top-Box Amazon.de verschiebt Lieferung für Fire TV auf 2015

NFC in der Analyse: Probleme und Chancen der Nahfunktechnik
NFC in der Analyse
Probleme und Chancen der Nahfunktechnik
  1. NFC iPhone 6 soll zum digitalen Portemonnaie werden
  2. Mini-PC Broadwell- und Braswell-NUCs laden Smartphones drahtlos

    •  / 
    Zum Artikel