Abo
  • Services:

Chrome und Firefox: CSS-Angriff ermöglicht Rückschlüsse auf iFrame-Inhalte

Ein Seitenkanal in einer CSS-Funktion ermöglicht Rückschlüsse auf die Inhalte von iFrames, die in bösartigen Webseiten eingebaut werden. Forscher konnten so an den Facebook-Namen und das Profilfoto eines Opfers gelangen. Die Lücke ist in Chrome und Firefox behoben.

Artikel veröffentlicht am ,
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten.
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten. (Bild: Ruslan Habalov, Evonide.com)

Mehrere Sicherheitsforscher haben unabhängig voneinander einen Seitenkanal in der CSS3-Funktion Mix-Blend-Mode gefunden, der in den Browsern Chrome und Firefox dazu genutzt werden konnte, Rückschlüsse auf die Inhalte von iFrames zu ziehen, die in bösartigen Webseiten eingebunden werden konnten. Zur Demonstration des erfolgreichen Angriffs konnten die Forscher Ruslan Habalov und Dario Weißer den Facebook-Namen, das Profilfoto sowie den Like-Status einer Webseite des Opfers auslesen, sofern dieses bei Facebook angemeldet gewesen ist.

Stellenmarkt
  1. über duerenhoff GmbH, Hannover
  2. thyssenkrupp AG, Essen

Die Sicherheitslücke wurde bereits im vergangenen Jahr unabhängig davon durch Max May gefunden und an das Team des Chrome-Browsers gemeldet. Die Lücke (CVE-2017-15417) ist in Chrome Version 63 behoben worden, die Ende 2017 erschienen ist. Ebenfalls betroffen war auch der Firefox-Browser, der mit der aktuellen Version 60 ein Update zum Schließen der Lücke erhalten hat.

Den Forschern zufolge sind der Internet Explorer und der Edge-Browser nicht von der Lücke betroffen, da diese die verwendete Funktion nicht unterstützen. Apples Safari-Browser sei demnach ebenso nicht für den konkreten Angriff anfällig. Der Forscher Dario Weißer sagte dem US-Magazin Ars Technica jedoch, dass er aufgrund der vielfältigen grafischen Funktionen moderner Webtechniken von weiteren ähnlichen, aber noch nicht bekannten Fehlern ausgehe.

Inhalte errechnen statt auslesen

Der von Habalov und Weißer vorgestellte Angriff umgeht gezielt bestehende Sicherheitsmaßnahmen, die eigentlich die Anzeige von Inhalten externer Seiten verhindern sollen, die per iFrame in eine bösartige Seite eingebettet werden. Der tatsächliche Inhalt des iFrames kann auch weiterhin nicht direkt ausgelesen werden, diesem wird sich vielmehr gezielt angenähert.

Mithilfe des Mix-Blend-Modes von CSS lassen sich Inhalte eines Elements mit dem Hintergrund verschmelzen. Die Forscher nutzen das aus, indem eigene DIV-Schichten über das Element des iFrames gelegt werden, der ausgelesen werden soll.

Da die Angreifer die obenliegenden Schichten manipulieren können, lässt sich die Zeit der grafischen Interaktion mit darunterliegenden Schichten messen. Je nach Farbe des darunterliegenden Pixels dauert die Interaktion unterschiedlich lang. So lässt sich für jedes Pixel des iFrames dessen Farbe näherungsweise bestimmen.

Aus dem daraus entstehenden Bild wiederum können persönlichen Informationen wie eben der Facebook-Name oder auch das Profilfoto gewonnen werden. Besonders effektiv ist der demonstrierte Angriff jedoch nicht. So benötigten die Forscher 20 Sekunden, um den Namen abzuleiten, und sogar fünf Minuten für eine eher schlechte Näherung des originalen Profilfotos.

Zwar habe man den Angriff nur gegen Facebook demonstriert, die Forscher sind sich aber sicher, dass darüber auch eine Vielzahl anderer Informationen anderer Webseiten hätten ausgelesen werden können. "Wir erwarten, dass in den kommenden Jahren immer mehr solcher Schwachstellen entdeckt werden", heißt es am Ende des Blogeintrags der Forscher.



Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 4,25€
  3. (2 Monate Sky Ticket für nur 4,99€)

Baertiger1980 02. Jun 2018 / Themenstart

Das Internet hat keine Zukunft :D

Airblader 01. Jun 2018 / Themenstart

... Wird aber nirgendwo erwähnt. Einen Timing-Angriff auf iframes mittels CSS gab es...

Schattenwerk 01. Jun 2018 / Themenstart

Praxisnah hin oder her, ich bin immer wieder beeindruckt, wie Menschen doch auf so Ideen...

Kommentieren


Folgen Sie uns
       


Apple WWDC 2018 Keynote in 11 Minuten - Supercut

Im Supercut zur WWDC 2018 zeigen wir in zehn Minuten, was Apple Entwicklern und Nutzern von iOS 12, MacOS Mojave und WatchOS 5 und TvOS präsentiert hat.

Apple WWDC 2018 Keynote in 11 Minuten - Supercut Video aufrufen
Jurassic World Evolution im Test: Das Leben findet einen Weg
Jurassic World Evolution im Test
Das Leben findet einen Weg

Ian Malcolm hatte recht: Das Leben wird ausgegraben und gebrütet, es frisst und stirbt oder es bricht aus und macht Jagd auf die Besucher. Nur leider haben die Entwickler von Jurassic World Evolution ein paar kleine Design-Fehler begangen, so wie Henry Wu bei der Dino-DNA.
Ein Test von Marc Sauter

  1. Vampyr im Test Zwischen Dracula und Doktor
  2. Fe im Test Fuchs im Farbenrausch
  3. Thaumistry: In Charm's Way im Test Text-Adventure der ganz alten Schule

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

3D-Druck on Demand: Wenn der Baumarkt Actionfiguren aus Stahl druckt
3D-Druck on Demand
Wenn der Baumarkt Actionfiguren aus Stahl druckt

Es gibt viele Anbieter für 3D-Druck on Demand und die Preise fallen. Golem.de hat die 3D-Druckdienste von Toom, Conrad Electronic, Sculpteo und Media Markt getestet, um neue Figuren der Big-Jim-Reihe zu erschaffen.
Ein Praxistest von Achim Sawall


      •  /