Abo
  • Services:

Slashes ermöglichen Datenextraktion

Mit diesem Trick, den Venis "Ex File Tration" nennt, lassen sich mittels einer lokalen Flash-Datei Daten aus einem System herausschleusen. Als Venis dieses Problem an das Google-Security-Team meldete, fragte ihn Google-Mitarbeiter Chris Evans, ob es auch möglich sei, diese Methode von einer Webseite aus auszunutzen. Evans verwies dabei auf einen möglichen Angriffsvektor hierfür: Links haben ein Attribut "download" mit einem optionalen Dateinamen, mit dem man den Browser anweisen kann, Dateien direkt herunterzuladen. Den Klick auf den Link kann man mittels Javascript simulieren. Damit gelang es Venis nun auch, diesen Exploit direkt von einer bösartigen Webseite aus auszuführen.

Stellenmarkt
  1. HALLESCHE Krankenversicherung a. G., Stuttgart
  2. CSB-SYSTEM AG, Kleinmachnow

Mittels dieser Download-Links schaffte er es außerdem, Daten von externen Webseiten herunterzuladen und anschließend mit den oben beschriebenen Tricks an eine bösartige Webseite weiterzuleiten. Damit lässt sich dann beispielsweise der Inhalt einer Gmail-Mailbox zunächst lokal als Datei abspeichern und anschließend mittels des Flash-Sandbox-Tricks aus dem System herausschleusen.

Durch die Ausnutzung sogenannter Data-URLs konnte Venis es vermeiden, den Exploit über verschiedene Dateien zu verteilen. Mit diesen URLs der Form data:text/plain;charset=utf-8;base64,YWxlcnQoMSk= lassen sich in Webseiten Daten einbinden, die direkt in der URL codiert sind, sich aber wie eine Datei verhalten. Wie sich herausstellte, läuft ein Flash-Script, das als Data-URL codiert ist, im lokalen Kontext und kann auf das Dateisystem zugreifen.

Data-URLs sind nützlich für Angreifer

Doch die Data-URLs erwiesen sich noch in einem weiteren Fall als nützlich für Angreifer. Wenn man einen Iframe mittels einer Data-URL benutzte und darin wiederum ein Flash-Applet, ebenfalls als Data-URL, dann war die Sandbox-Funktionalität von Flash verwirrt. Das entsprechende Flash-Applet wurde im lokalen Kontext ausgeführt, erhielt also wieder Zugriff auf alle lokalen Dateien.

Dabei fand Venis gleich noch eine weitere Möglichkeit, Daten aus dem lokalen Kontext ins Netz zu senden: Fehlerhafte HTTP-URLs, in denen nur ein Slash genutzt wurde, zum Beispiel http:/www.google.com, korrigiert Chrome automatisch. Vom Flash-Plugin werden solche URLs jedoch als lokale Dateien behandelt.

Venis' Schlussfolgerung: Mehr Menschen sollten versuchen, mit etwas Kreativität nach ähnlichen Sicherheitslücken in Browsern zu suchen. "Ich bin überzeugt, dass jeder mit grundsätzlichen technischen Kenntnissen über den Web-Stack Sicherheitslücken wie diese finden könnte", schreibt Venis in einem Whitepaper, in dem er die Details zu allen Sicherheitslücken erläutert hat.

 Sicherheitslücken: Fehler in der Browser-Logik
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 54,99€ mit Vorbesteller-Preisgarantie
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. 12,99€ + 1,99€ Versand oder Abholung im Markt

gaym0r 31. Mai 2015

Nach Satzzeichen folgt ein Leerzeichen.

shyps 31. Mai 2015

ich meine damit letztlich den komfort. es geht den entwicklern u.a. darum, teile der ui...

BLi8819 30. Mai 2015

Weil es noch nicht genug Browser gibt, die meist noch mehr Sicherheitslücken mit bringen...

cephei 29. Mai 2015

Das ist mir ohne Scheiss!! heute passier mit youtube.com 1 . JS Alert Message 2. Get new...

Milber 29. Mai 2015

Kleiner Tipp: Wer zu blöd ist für Rechtschreibregeln sollte niemandem Tipps geben.


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Grafikkarten Virtual Link via USB-C für Next-Gen-Headsets
  2. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  3. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

    •  /