Abo
  • Services:
Anzeige
Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Gefährliche Sicherheitsprogramme: Chromodo hebelt die Same-Origin-Policy aus

Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Comodos Internet-Security-Suite verschlechtert die Sicherheit ihrer Nutzer - drastisch. Die Reaktionen auf die Enthüllung des Hackers Tavis Ormandy fallen dementsprechend empört aus. Das Unternehmen scheint den Ernst der Lage nicht ganz verstanden zu haben.

Der Hacker Tavis Ormandy führt seit längerem einen regelrechten Kreuzzug gegen unsichere Antiviren- und andere Sicherheitsprogramme. Im vergangenen Jahr fand der bei Googles Project Zero angestellte Sicherheitsforscher schwerwiegende Sicherheitslücken in fast allen gängigen Antivirenprogrammen. Jetzt hat er eine neue Schwachstelle veröffentlicht, dieses Mal in der Comodo Internet Security Suite. Comodo wirbt damit, dass das Programm "alle Viren und Online-Bedrohungen" verhindere. Allein diese Behauptung ist abenteuerlich, doch die Comodo-Suite installiert sogar eine Sicherheitsgefahr auf dem Rechner der Nutzer - ungefragt.

Denn als Teil der Sicherheitssuite wird mit Chromodo ein eigener Fork von Chromium installiert - der Open-Source-Grundlage des Chrome-Browsers. Dieser Browser wird ohne weitere Rückfrage als Standardbrowser im System eingetragen. Außerdem werden alle Einstellungen, Lesezeichen und andere Daten von Chrome importiert - ebenfalls ungefragt. Viele Nutzer, die eigentlich Chrome nutzen, dürften den neuen Standardbrowser gar nicht als solchen erkennen. Der neue Browser überschreibt auch die DNS-Einstellungen, und kann so den Datenstrom der Nutzer manipulieren.

Anzeige

Noch drastischere Auswirkungen aber hat die Aufhebung der Same-Origin-Policy (SOP) durch Chromodo. Mit dem Verfahren wird sichergestellt, dass keine aktiven Elemente wie Javascript oder Actionscript von einer unbekannten Quelle geladen werden, wenn der Nutzer eine Webseite aufruft. Auch mit aktivierter SOP gibt es natürlich keinen hundertprozentigen Schutz, etwa vor XSS-Angriffen (Cross Site Scripting), doch die Hürden für einen Angreifer liegen deutlich höher.

  • Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)
Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)

Die Sicherheitslücke demonstrierte Ormandy dem Unternehmen auch mit einem funktionierenden Exploit. Er besuchte die mit HTTPS geschützte Seite von Comodo und konnte mit seinem Angriffscode alle Informationen aus dem verwendeten Cookie auslesen.

Comodo hat auf die Enthüllung bislang nur halbherzig reagiert. Statt die grundlegenden Sicherheitsprobleme zu fixen, verteilte das Unternehmen nur einen Patch für die in seinem Exploit genutzten ExecCode-Api, wie Ormandy in dem Bugreport schreibt. Ormandy will jetzt in anderen Produkten des Unternehmens nach weiteren Fehlern suchen.


eye home zur Startseite
lemgostanislaw 05. Feb 2016

Das ist doch mehr als ordnungsgemäß. Damit wird anderen Leser sofort signalisiert, dass...

Proctrap 04. Feb 2016

Bringt definitiv was, wenn du es dabei nicht belässt. Nur dann bitte gleich den CCleaner...

hg (Golem.de) 04. Feb 2016

In der Tat - da habe ich mich vertan, tut mir leid. Danke für den Hinweis, ist dann auch...



Anzeige

Stellenmarkt
  1. Heinzmann GmbH & Co. KG, Schönau
  2. LEDVANCE GmbH, Garching bei München
  3. Landeshauptstadt München, München
  4. ING-DiBa AG, Nürnberg


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Space Jam 11,97€, Ex Machina 9,97€, Game of Thrones 3. Staffel 24,97€)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: xD ein Smart für 22.000¤

    User_x | 23.02. 23:57

  2. Re: Technologieführer Daimler

    bplhkp | 23.02. 23:55

  3. Re: "Eigentlich ist sie sehr viel flexibler als...

    Meisterqn | 23.02. 23:51

  4. Re: Etat der Polizei

    cpt.dirk | 23.02. 23:43

  5. Eigentlich hat sowas in einem Kinderzimmer nichts...

    Robert Hab | 23.02. 23:42


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel