Abo
  • Services:
Anzeige
Data-URLs können in verschiedenen Situationen zu Sicherheitsproblemen führen.
Data-URLs können in verschiedenen Situationen zu Sicherheitsproblemen führen. (Bild: Screenshot / Hanno Böck)

Slashes ermöglichen Datenextraktion

Anzeige

Mit diesem Trick, den Venis "Ex File Tration" nennt, lassen sich mittels einer lokalen Flash-Datei Daten aus einem System herausschleusen. Als Venis dieses Problem an das Google-Security-Team meldete, fragte ihn Google-Mitarbeiter Chris Evans, ob es auch möglich sei, diese Methode von einer Webseite aus auszunutzen. Evans verwies dabei auf einen möglichen Angriffsvektor hierfür: Links haben ein Attribut "download" mit einem optionalen Dateinamen, mit dem man den Browser anweisen kann, Dateien direkt herunterzuladen. Den Klick auf den Link kann man mittels Javascript simulieren. Damit gelang es Venis nun auch, diesen Exploit direkt von einer bösartigen Webseite aus auszuführen.

Mittels dieser Download-Links schaffte er es außerdem, Daten von externen Webseiten herunterzuladen und anschließend mit den oben beschriebenen Tricks an eine bösartige Webseite weiterzuleiten. Damit lässt sich dann beispielsweise der Inhalt einer Gmail-Mailbox zunächst lokal als Datei abspeichern und anschließend mittels des Flash-Sandbox-Tricks aus dem System herausschleusen.

Durch die Ausnutzung sogenannter Data-URLs konnte Venis es vermeiden, den Exploit über verschiedene Dateien zu verteilen. Mit diesen URLs der Form data:text/plain;charset=utf-8;base64,YWxlcnQoMSk= lassen sich in Webseiten Daten einbinden, die direkt in der URL codiert sind, sich aber wie eine Datei verhalten. Wie sich herausstellte, läuft ein Flash-Script, das als Data-URL codiert ist, im lokalen Kontext und kann auf das Dateisystem zugreifen.

Data-URLs sind nützlich für Angreifer

Doch die Data-URLs erwiesen sich noch in einem weiteren Fall als nützlich für Angreifer. Wenn man einen Iframe mittels einer Data-URL benutzte und darin wiederum ein Flash-Applet, ebenfalls als Data-URL, dann war die Sandbox-Funktionalität von Flash verwirrt. Das entsprechende Flash-Applet wurde im lokalen Kontext ausgeführt, erhielt also wieder Zugriff auf alle lokalen Dateien.

Dabei fand Venis gleich noch eine weitere Möglichkeit, Daten aus dem lokalen Kontext ins Netz zu senden: Fehlerhafte HTTP-URLs, in denen nur ein Slash genutzt wurde, zum Beispiel http:/www.google.com, korrigiert Chrome automatisch. Vom Flash-Plugin werden solche URLs jedoch als lokale Dateien behandelt.

Venis' Schlussfolgerung: Mehr Menschen sollten versuchen, mit etwas Kreativität nach ähnlichen Sicherheitslücken in Browsern zu suchen. "Ich bin überzeugt, dass jeder mit grundsätzlichen technischen Kenntnissen über den Web-Stack Sicherheitslücken wie diese finden könnte", schreibt Venis in einem Whitepaper, in dem er die Details zu allen Sicherheitslücken erläutert hat.

 Sicherheitslücken: Fehler in der Browser-Logik

eye home zur Startseite
gaym0r 31. Mai 2015

Nach Satzzeichen folgt ein Leerzeichen.

shyps 31. Mai 2015

ich meine damit letztlich den komfort. es geht den entwicklern u.a. darum, teile der ui...

BLi8819 30. Mai 2015

Weil es noch nicht genug Browser gibt, die meist noch mehr Sicherheitslücken mit bringen...

cephei 29. Mai 2015

Das ist mir ohne Scheiss!! heute passier mit youtube.com 1 . JS Alert Message 2. Get new...

Milber 29. Mai 2015

Kleiner Tipp: Wer zu blöd ist für Rechtschreibregeln sollte niemandem Tipps geben.



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt
  2. Brabbler Secure Message and Data Exchange Aktiengesellschaft, München
  3. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  4. WKM GmbH, München


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

  1. Re: Unangenehme Beiträge hervorheben statt zu...

    klaus9999 | 02:44

  2. Warum?

    NeoXolver | 02:38

  3. Re: Jeder redet über FB-Mitarbeiter - keiner über...

    klaus9999 | 01:55

  4. Password-Master - Master-Desaster

    MarioWario | 01:40

  5. Facebook-Verbot für SPD-Mitglieder und Spiegel-Leser

    MarioWario | 01:32


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel