Abo
  • Services:

Chrome und Firefox: CSS-Angriff ermöglicht Rückschlüsse auf iFrame-Inhalte

Ein Seitenkanal in einer CSS-Funktion ermöglicht Rückschlüsse auf die Inhalte von iFrames, die in bösartigen Webseiten eingebaut werden. Forscher konnten so an den Facebook-Namen und das Profilfoto eines Opfers gelangen. Die Lücke ist in Chrome und Firefox behoben.

Artikel veröffentlicht am ,
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten.
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten. (Bild: Ruslan Habalov, Evonide.com)

Mehrere Sicherheitsforscher haben unabhängig voneinander einen Seitenkanal in der CSS3-Funktion Mix-Blend-Mode gefunden, der in den Browsern Chrome und Firefox dazu genutzt werden konnte, Rückschlüsse auf die Inhalte von iFrames zu ziehen, die in bösartigen Webseiten eingebunden werden konnten. Zur Demonstration des erfolgreichen Angriffs konnten die Forscher Ruslan Habalov und Dario Weißer den Facebook-Namen, das Profilfoto sowie den Like-Status einer Webseite des Opfers auslesen, sofern dieses bei Facebook angemeldet gewesen ist.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld

Die Sicherheitslücke wurde bereits im vergangenen Jahr unabhängig davon durch Max May gefunden und an das Team des Chrome-Browsers gemeldet. Die Lücke (CVE-2017-15417) ist in Chrome Version 63 behoben worden, die Ende 2017 erschienen ist. Ebenfalls betroffen war auch der Firefox-Browser, der mit der aktuellen Version 60 ein Update zum Schließen der Lücke erhalten hat.

Den Forschern zufolge sind der Internet Explorer und der Edge-Browser nicht von der Lücke betroffen, da diese die verwendete Funktion nicht unterstützen. Apples Safari-Browser sei demnach ebenso nicht für den konkreten Angriff anfällig. Der Forscher Dario Weißer sagte dem US-Magazin Ars Technica jedoch, dass er aufgrund der vielfältigen grafischen Funktionen moderner Webtechniken von weiteren ähnlichen, aber noch nicht bekannten Fehlern ausgehe.

Inhalte errechnen statt auslesen

Der von Habalov und Weißer vorgestellte Angriff umgeht gezielt bestehende Sicherheitsmaßnahmen, die eigentlich die Anzeige von Inhalten externer Seiten verhindern sollen, die per iFrame in eine bösartige Seite eingebettet werden. Der tatsächliche Inhalt des iFrames kann auch weiterhin nicht direkt ausgelesen werden, diesem wird sich vielmehr gezielt angenähert.

Mithilfe des Mix-Blend-Modes von CSS lassen sich Inhalte eines Elements mit dem Hintergrund verschmelzen. Die Forscher nutzen das aus, indem eigene DIV-Schichten über das Element des iFrames gelegt werden, der ausgelesen werden soll.

Da die Angreifer die obenliegenden Schichten manipulieren können, lässt sich die Zeit der grafischen Interaktion mit darunterliegenden Schichten messen. Je nach Farbe des darunterliegenden Pixels dauert die Interaktion unterschiedlich lang. So lässt sich für jedes Pixel des iFrames dessen Farbe näherungsweise bestimmen.

Aus dem daraus entstehenden Bild wiederum können persönlichen Informationen wie eben der Facebook-Name oder auch das Profilfoto gewonnen werden. Besonders effektiv ist der demonstrierte Angriff jedoch nicht. So benötigten die Forscher 20 Sekunden, um den Namen abzuleiten, und sogar fünf Minuten für eine eher schlechte Näherung des originalen Profilfotos.

Zwar habe man den Angriff nur gegen Facebook demonstriert, die Forscher sind sich aber sicher, dass darüber auch eine Vielzahl anderer Informationen anderer Webseiten hätten ausgelesen werden können. "Wir erwarten, dass in den kommenden Jahren immer mehr solcher Schwachstellen entdeckt werden", heißt es am Ende des Blogeintrags der Forscher.



Anzeige
Spiele-Angebote
  1. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  2. 46,99€ (Release 19.10.)
  3. 2,99€
  4. 4,99€

Baertiger1980 02. Jun 2018

Das Internet hat keine Zukunft :D

Airblader 01. Jun 2018

... Wird aber nirgendwo erwähnt. Einen Timing-Angriff auf iframes mittels CSS gab es...

Schattenwerk 01. Jun 2018

Praxisnah hin oder her, ich bin immer wieder beeindruckt, wie Menschen doch auf so Ideen...


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

    •  /