Abo
  • Services:
Anzeige
Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Gefährliche Sicherheitsprogramme: Chromodo hebelt die Same-Origin-Policy aus

Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Comodos Internet-Security-Suite verschlechtert die Sicherheit ihrer Nutzer - drastisch. Die Reaktionen auf die Enthüllung des Hackers Tavis Ormandy fallen dementsprechend empört aus. Das Unternehmen scheint den Ernst der Lage nicht ganz verstanden zu haben.

Der Hacker Tavis Ormandy führt seit längerem einen regelrechten Kreuzzug gegen unsichere Antiviren- und andere Sicherheitsprogramme. Im vergangenen Jahr fand der bei Googles Project Zero angestellte Sicherheitsforscher schwerwiegende Sicherheitslücken in fast allen gängigen Antivirenprogrammen. Jetzt hat er eine neue Schwachstelle veröffentlicht, dieses Mal in der Comodo Internet Security Suite. Comodo wirbt damit, dass das Programm "alle Viren und Online-Bedrohungen" verhindere. Allein diese Behauptung ist abenteuerlich, doch die Comodo-Suite installiert sogar eine Sicherheitsgefahr auf dem Rechner der Nutzer - ungefragt.

Denn als Teil der Sicherheitssuite wird mit Chromodo ein eigener Fork von Chromium installiert - der Open-Source-Grundlage des Chrome-Browsers. Dieser Browser wird ohne weitere Rückfrage als Standardbrowser im System eingetragen. Außerdem werden alle Einstellungen, Lesezeichen und andere Daten von Chrome importiert - ebenfalls ungefragt. Viele Nutzer, die eigentlich Chrome nutzen, dürften den neuen Standardbrowser gar nicht als solchen erkennen. Der neue Browser überschreibt auch die DNS-Einstellungen, und kann so den Datenstrom der Nutzer manipulieren.

Anzeige

Noch drastischere Auswirkungen aber hat die Aufhebung der Same-Origin-Policy (SOP) durch Chromodo. Mit dem Verfahren wird sichergestellt, dass keine aktiven Elemente wie Javascript oder Actionscript von einer unbekannten Quelle geladen werden, wenn der Nutzer eine Webseite aufruft. Auch mit aktivierter SOP gibt es natürlich keinen hundertprozentigen Schutz, etwa vor XSS-Angriffen (Cross Site Scripting), doch die Hürden für einen Angreifer liegen deutlich höher.

  • Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)
Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)

Die Sicherheitslücke demonstrierte Ormandy dem Unternehmen auch mit einem funktionierenden Exploit. Er besuchte die mit HTTPS geschützte Seite von Comodo und konnte mit seinem Angriffscode alle Informationen aus dem verwendeten Cookie auslesen.

Comodo hat auf die Enthüllung bislang nur halbherzig reagiert. Statt die grundlegenden Sicherheitsprobleme zu fixen, verteilte das Unternehmen nur einen Patch für die in seinem Exploit genutzten ExecCode-Api, wie Ormandy in dem Bugreport schreibt. Ormandy will jetzt in anderen Produkten des Unternehmens nach weiteren Fehlern suchen.


eye home zur Startseite
lemgostanislaw 05. Feb 2016

Das ist doch mehr als ordnungsgemäß. Damit wird anderen Leser sofort signalisiert, dass...

Proctrap 04. Feb 2016

Bringt definitiv was, wenn du es dabei nicht belässt. Nur dann bitte gleich den CCleaner...

hg (Golem.de) 04. Feb 2016

In der Tat - da habe ich mich vertan, tut mir leid. Danke für den Hinweis, ist dann auch...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Hildesheim
  2. IBM Client Innovation Center Germany GmbH, Magdeburg
  3. über Hays AG, Mannheim
  4. Technische Universität Darmstadt, Darmstadt


Anzeige
Top-Angebote
  1. 315,00€
  2. (heute u. a. PC- und Konsolenspiele reduziert, Sandisk-Speicherprodukte, Logitech-Produkte...
  3. 419€ + 3,99€ Versand

Folgen Sie uns
       


  1. Deutsche Telekom

    Weitere 39.000 Haushalte bekommen heute Vectoring

  2. Musikerkennungsdienst

    Apple erwirbt Shazam

  3. FTTH

    EWE senkt die Preise für seine Glasfaserzugänge

  4. WLAN

    Zahl der Vodafone-Hotspots steigt auf zwei Millionen

  5. Linux-Grafiktreiber

    Mesa 17.3 verbessert Vulkan- und Embedded-Treiber

  6. Gemini Lake

    Intel bringt Pentium Silver mit Gigabit-WLAN

  7. MG07ACA

    Toshiba packt neun Platter in seine erste 14-TByte-HDD

  8. Sysinternals-Werkzeug

    Microsoft stellt Procdump für Linux vor

  9. Forschungsförderung

    Medizin-Nobelpreisträger Rosbash kritisiert Trump

  10. Sicherheit

    Keylogger in HP-Notebooks gefunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: Zielgerichtete Forschung benötigt keine...

    Ach | 03:10

  2. Shazam bleib wie du bist :)

    Spawn182 | 03:06

  3. Re: Bravo zur Entscheidung von Birkernstock

    jacki | 02:34

  4. Re: was steckt dahinter?

    Squirrelchen | 02:19

  5. Finanz- und nicht Technikorientiert

    jude | 02:05


  1. 19:10

  2. 18:55

  3. 17:21

  4. 15:57

  5. 15:20

  6. 15:00

  7. 14:46

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel