Abo
  • Services:
Anzeige
Data-URLs können in verschiedenen Situationen zu Sicherheitsproblemen führen.
Data-URLs können in verschiedenen Situationen zu Sicherheitsproblemen führen. (Bild: Screenshot / Hanno Böck)

Slashes ermöglichen Datenextraktion

Anzeige

Mit diesem Trick, den Venis "Ex File Tration" nennt, lassen sich mittels einer lokalen Flash-Datei Daten aus einem System herausschleusen. Als Venis dieses Problem an das Google-Security-Team meldete, fragte ihn Google-Mitarbeiter Chris Evans, ob es auch möglich sei, diese Methode von einer Webseite aus auszunutzen. Evans verwies dabei auf einen möglichen Angriffsvektor hierfür: Links haben ein Attribut "download" mit einem optionalen Dateinamen, mit dem man den Browser anweisen kann, Dateien direkt herunterzuladen. Den Klick auf den Link kann man mittels Javascript simulieren. Damit gelang es Venis nun auch, diesen Exploit direkt von einer bösartigen Webseite aus auszuführen.

Mittels dieser Download-Links schaffte er es außerdem, Daten von externen Webseiten herunterzuladen und anschließend mit den oben beschriebenen Tricks an eine bösartige Webseite weiterzuleiten. Damit lässt sich dann beispielsweise der Inhalt einer Gmail-Mailbox zunächst lokal als Datei abspeichern und anschließend mittels des Flash-Sandbox-Tricks aus dem System herausschleusen.

Durch die Ausnutzung sogenannter Data-URLs konnte Venis es vermeiden, den Exploit über verschiedene Dateien zu verteilen. Mit diesen URLs der Form data:text/plain;charset=utf-8;base64,YWxlcnQoMSk= lassen sich in Webseiten Daten einbinden, die direkt in der URL codiert sind, sich aber wie eine Datei verhalten. Wie sich herausstellte, läuft ein Flash-Script, das als Data-URL codiert ist, im lokalen Kontext und kann auf das Dateisystem zugreifen.

Data-URLs sind nützlich für Angreifer

Doch die Data-URLs erwiesen sich noch in einem weiteren Fall als nützlich für Angreifer. Wenn man einen Iframe mittels einer Data-URL benutzte und darin wiederum ein Flash-Applet, ebenfalls als Data-URL, dann war die Sandbox-Funktionalität von Flash verwirrt. Das entsprechende Flash-Applet wurde im lokalen Kontext ausgeführt, erhielt also wieder Zugriff auf alle lokalen Dateien.

Dabei fand Venis gleich noch eine weitere Möglichkeit, Daten aus dem lokalen Kontext ins Netz zu senden: Fehlerhafte HTTP-URLs, in denen nur ein Slash genutzt wurde, zum Beispiel http:/www.google.com, korrigiert Chrome automatisch. Vom Flash-Plugin werden solche URLs jedoch als lokale Dateien behandelt.

Venis' Schlussfolgerung: Mehr Menschen sollten versuchen, mit etwas Kreativität nach ähnlichen Sicherheitslücken in Browsern zu suchen. "Ich bin überzeugt, dass jeder mit grundsätzlichen technischen Kenntnissen über den Web-Stack Sicherheitslücken wie diese finden könnte", schreibt Venis in einem Whitepaper, in dem er die Details zu allen Sicherheitslücken erläutert hat.

 Sicherheitslücken: Fehler in der Browser-Logik

eye home zur Startseite
gaym0r 31. Mai 2015

Nach Satzzeichen folgt ein Leerzeichen.

shyps 31. Mai 2015

ich meine damit letztlich den komfort. es geht den entwicklern u.a. darum, teile der ui...

BLi8819 30. Mai 2015

Weil es noch nicht genug Browser gibt, die meist noch mehr Sicherheitslücken mit bringen...

cephei 29. Mai 2015

Das ist mir ohne Scheiss!! heute passier mit youtube.com 1 . JS Alert Message 2. Get new...

Milber 29. Mai 2015

Kleiner Tipp: Wer zu blöd ist für Rechtschreibregeln sollte niemandem Tipps geben.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. über Ratbacher GmbH, Frankfurt am Main
  3. GIGATRONIK München GmbH, München
  4. thyssenkrupp AG, Essen


Anzeige
Hardware-Angebote
  1. Bis zu 250 EUR Cashback auf ausgewählte Objektive erhalten
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Streaming

    Akamai macht Videos mit Quic schneller

  2. United Internet

    1&1 bietet VDSL immer mehr über sein eigenes Netz an

  3. Videostreaming im Zug

    Maxdome umwirbt Bahnfahrer bei Tempo 230

  4. Synology FS1018

    Kleine Flashstation für SSDs und Adapterkarte für M.2-SSDs

  5. Reddit

    Drei Alpha-Profilseiten sind online

  6. Souq.com

    Amazon gibt 750 Millionen Dollar für Übernahme aus

  7. Let's Play

    Facebook ermöglicht Livevideos vom PC

  8. Ryzen-CPU

    Ach AMD!

  9. Sensor

    Mit dem Kopfpflaster Gefühle lesen

  10. Übernahme

    Apple kauft iOS-Automatisierungs-Tool Workflow



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Countdown für Andromeda
  2. Mass Effect 4 Ansel und Early Access für Andromeda
  3. Mass Effect Abflugtermin in die Andromedagalaxie

  1. Re: 1&1 nicht zu empfehlen

    Kirmes | 13:20

  2. Re: nachtmodus: nette idee, bringt aber nichts ;)

    Arsenal | 13:19

  3. Re: Wer unterbezahlt ist hat wenigstens einen job.

    Dino13 | 13:19

  4. Re: Keine Ahnung warum die Leute Probleme haben.....

    HubertHans | 13:19

  5. Ob die auch vor dem Schräddern der Seite...

    Kleine Schildkröte | 13:16


  1. 13:18

  2. 12:28

  3. 12:05

  4. 11:46

  5. 11:30

  6. 10:35

  7. 10:06

  8. 09:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel