Abo
  • IT-Karriere:

Chrome und Firefox: CSS-Angriff ermöglicht Rückschlüsse auf iFrame-Inhalte

Ein Seitenkanal in einer CSS-Funktion ermöglicht Rückschlüsse auf die Inhalte von iFrames, die in bösartigen Webseiten eingebaut werden. Forscher konnten so an den Facebook-Namen und das Profilfoto eines Opfers gelangen. Die Lücke ist in Chrome und Firefox behoben.

Artikel veröffentlicht am ,
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten.
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten. (Bild: Ruslan Habalov, Evonide.com)

Mehrere Sicherheitsforscher haben unabhängig voneinander einen Seitenkanal in der CSS3-Funktion Mix-Blend-Mode gefunden, der in den Browsern Chrome und Firefox dazu genutzt werden konnte, Rückschlüsse auf die Inhalte von iFrames zu ziehen, die in bösartigen Webseiten eingebunden werden konnten. Zur Demonstration des erfolgreichen Angriffs konnten die Forscher Ruslan Habalov und Dario Weißer den Facebook-Namen, das Profilfoto sowie den Like-Status einer Webseite des Opfers auslesen, sofern dieses bei Facebook angemeldet gewesen ist.

Stellenmarkt
  1. Apollo-Optik Holding GmbH & Co. KG, Schwabach
  2. Stiftung Katholische Freie Schule der Diözese Rottenburg-Stuttgart, Rottenburg am Neckar

Die Sicherheitslücke wurde bereits im vergangenen Jahr unabhängig davon durch Max May gefunden und an das Team des Chrome-Browsers gemeldet. Die Lücke (CVE-2017-15417) ist in Chrome Version 63 behoben worden, die Ende 2017 erschienen ist. Ebenfalls betroffen war auch der Firefox-Browser, der mit der aktuellen Version 60 ein Update zum Schließen der Lücke erhalten hat.

Den Forschern zufolge sind der Internet Explorer und der Edge-Browser nicht von der Lücke betroffen, da diese die verwendete Funktion nicht unterstützen. Apples Safari-Browser sei demnach ebenso nicht für den konkreten Angriff anfällig. Der Forscher Dario Weißer sagte dem US-Magazin Ars Technica jedoch, dass er aufgrund der vielfältigen grafischen Funktionen moderner Webtechniken von weiteren ähnlichen, aber noch nicht bekannten Fehlern ausgehe.

Inhalte errechnen statt auslesen

Der von Habalov und Weißer vorgestellte Angriff umgeht gezielt bestehende Sicherheitsmaßnahmen, die eigentlich die Anzeige von Inhalten externer Seiten verhindern sollen, die per iFrame in eine bösartige Seite eingebettet werden. Der tatsächliche Inhalt des iFrames kann auch weiterhin nicht direkt ausgelesen werden, diesem wird sich vielmehr gezielt angenähert.

Mithilfe des Mix-Blend-Modes von CSS lassen sich Inhalte eines Elements mit dem Hintergrund verschmelzen. Die Forscher nutzen das aus, indem eigene DIV-Schichten über das Element des iFrames gelegt werden, der ausgelesen werden soll.

Da die Angreifer die obenliegenden Schichten manipulieren können, lässt sich die Zeit der grafischen Interaktion mit darunterliegenden Schichten messen. Je nach Farbe des darunterliegenden Pixels dauert die Interaktion unterschiedlich lang. So lässt sich für jedes Pixel des iFrames dessen Farbe näherungsweise bestimmen.

Aus dem daraus entstehenden Bild wiederum können persönlichen Informationen wie eben der Facebook-Name oder auch das Profilfoto gewonnen werden. Besonders effektiv ist der demonstrierte Angriff jedoch nicht. So benötigten die Forscher 20 Sekunden, um den Namen abzuleiten, und sogar fünf Minuten für eine eher schlechte Näherung des originalen Profilfotos.

Zwar habe man den Angriff nur gegen Facebook demonstriert, die Forscher sind sich aber sicher, dass darüber auch eine Vielzahl anderer Informationen anderer Webseiten hätten ausgelesen werden können. "Wir erwarten, dass in den kommenden Jahren immer mehr solcher Schwachstellen entdeckt werden", heißt es am Ende des Blogeintrags der Forscher.



Anzeige
Top-Angebote
  1. 239,90€ (Bestpreis!)
  2. 58,90€
  3. 27“ großer NANO-IPS-Monitor mit 1 ms Reaktionszeit und WQHD-Auflösung (2.560 x 1.440)
  4. (u. a. Ghost Recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...

Baertiger1980 02. Jun 2018

Das Internet hat keine Zukunft :D

Airblader 01. Jun 2018

... Wird aber nirgendwo erwähnt. Einen Timing-Angriff auf iframes mittels CSS gab es...

Schattenwerk 01. Jun 2018

Praxisnah hin oder her, ich bin immer wieder beeindruckt, wie Menschen doch auf so Ideen...


Folgen Sie uns
       


Nintendo Switch Lite - Test

Die Nintendo Switch Lite sieht aus wie eine Switch, ist aber kompakter, leichter und damit gerade unterwegs eine sinnvolle Wahl - trotz einiger fehlender Funktionen.

Nintendo Switch Lite - Test Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. 5G Milliardenlücke beim Digitalpakt Schule droht
  2. Medienkompetenz Was, Ihr Kind kann nicht programmieren?
  3. Digitalpakt Schuldigitalisierung kann starten

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /