Chromium-Exploit geleakt: Google-Panne gefährdet Millionen von Browser-Nutzern
In Chromium, der Codebasis für mehrere populäre Webbrowser wie Google Chrome, Microsoft Edge, Brave und Vivaldi, klafft seit Jahren eine gefährliche Sicherheitslücke. Ein Proof-of-Concept-Exploit lag bisher nur den Chromium-Entwicklern vor, damit diese einen Patch entwickeln können. Doch am Mittwoch wurde dieser Exploit unerwartet veröffentlicht, obwohl die Lücke noch gar nicht geschlossen ist.
Wie Ars Technica berichtet(öffnet im neuen Fenster), wurde die Sicherheitslücke schon Ende 2022 an das Chromium-Entwicklerteam gemeldet. Der zugehörige Bug-Tracker(öffnet im neuen Fenster) war bisher als privat markiert und stand damit unter Verschluss – ein gängiges Vorgehen bei noch ungepatchten Lücken, welche Angreifer sonst leicht massenhaft ausnutzen könnten.
Doch am Mittwoch war der Bug-Tracker plötzlich öffentlich einsehbar. Lyra Rebane, die Entdeckerin der Lücke, dachte zuerst, der Fehler sei nach all den Jahren endlich behoben worden und verkündete die frohe Botschaft auf Mastodon(öffnet im neuen Fenster). Doch kurz darauf folgte Ernüchterung: Die Forscherin stellte fest, dass die Lücke immer noch ausnutzbar ist. Der Bug-Tracker steht inzwischen wieder auf privat, doch die Details kursieren längst im Netz.
Botnetz-Armee aus Webbrowsern
Die Ursache der Sicherheitslücke liegt den Angaben zufolge in der Background Fetch API von Chromium. Sie lässt sich ausnutzen, um im Hintergrund einen dauerhaft aktiven Service Worker(öffnet im neuen Fenster) zu öffnen und lange Videos oder andere große Dateien herunterzuladen, ohne dass der Nutzer davon etwas merkt.
Angreifer können damit eine Verbindung herstellen und aufrechterhalten. Fremde Webbrowser lassen sich auf diesem Wege in ein Botnetz eingliedern, um sie beispielsweise als Proxy zu missbrauchen oder Denial-of-Service-Angriffe auf beliebige Onlinedienste auszuführen.
Laut Rebane funktioniert der Exploit "ziemlich einfach". Alles was für eine erfolgreiche Ausnutzung nötig sein soll, ist der Aufruf einer vom Angreifer kontrollierten Website, die im Hintergrund speziellen Javascript-Code ausführt. Weitere Nutzerinteraktionen sind wohl nicht erforderlich.
Edge-Nutzer besonders gefährdet
Besonders unauffällig und effektiv soll der Angriff bei Microsoft Edge sein. Normalerweise wird bei einem laufenden Angriff zumindest ein Download-Dropdown eingeblendet, wenngleich darin keine neuen Elemente erscheinen. Bei Edge soll das Dropdown jedoch gar nicht auftauchen(öffnet im neuen Fenster). Zudem soll Edge selbst dann im Hintergrund mit dem Server des Angreifers verbunden bleiben, wenn der Browser geschlossen wird.
In Chrome soll das Download-Dropdown jedoch sichtbar werden, so dass der Angriff dort eher auffällt. So oder so werden "weniger erfahrene Nutzer das Verhalten jedoch wahrscheinlich als Folge eines lästigen Fehlers betrachten und keine Ahnung haben, dass ihr Gerät kompromittiert ist", heißt es bei Ars Technica.
Google äußerte sich bisher nicht zur verfrühten Offenlegung der Lücke. Damit bleibt zunächst auch ungewiss, wann tatsächlich ein Patch verfügbar sein wird. Wer sich vor möglichen Angriffen schützen will, sollte auf unerwartet aufpoppende Download-Dropdowns achten oder anfällige Webbrowser (insbesondere Edge) vorerst ganz meiden. Bei Firefox und Safari besteht die Lücke wohl nicht.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.