Abo
  • Services:

Sicherheitslücken: Fehler in der Browser-Logik

Mit relativ simplen Methoden ist es dem 18-jährigen Webentwickler Bas Venis gelungen, schwerwiegende Sicherheitslücken im Chrome-Browser und im Flash-Plugin aufzudecken. Er ruft andere dazu auf, nach Bugs in der Logik von Browsern zu suchen.

Artikel veröffentlicht am , Hanno Böck
Data-URLs können in verschiedenen Situationen zu Sicherheitsproblemen führen.
Data-URLs können in verschiedenen Situationen zu Sicherheitsproblemen führen. (Bild: Screenshot / Hanno Böck)

Auf der Konferenz Hack in the Box in Amsterdam hat der 18-jährige Webentwickler Bas Venis berichtet, wie er eine Reihe von Browser-Sicherheitslücken aufdeckte. Venis nutzte dabei laut eigenen Angaben keine externen Tools und es handelte sich nicht wie sonst oft um komplexe Fehler in der Speicherverwaltung.

URL-Spoofing durch blockierende Javascript-Funktion

Inhalt:
  1. Sicherheitslücken: Fehler in der Browser-Logik
  2. Slashes ermöglichen Datenextraktion

Zum Einstieg berichtete Venis über eine URL-Spoofing-Lücke, die er vor zwei Jahren im Chrome-Browser entdeckte. Versucht man, mittels Javascript ein neues Fenster mit einer URL auf einer fremden Domain zu öffnen und anschließend sofort in das Fenster zu schreiben, wird der Ladevorgang unterbrochen und die URL der Seite auf about:blank gesetzt. Bestimmte Javascript-Befehle, die ein Dialogfenster öffnen, unterbrechen jedoch diesen Vorgang. Allerdings überlagert dieses Dialogfenster, beispielsweise durch den alert()-Befehl, auch das neu geöffnete Fenster und verhindert die Interaktion des Nutzers mit der Seite.

Chrome hat jedoch eine Javascript-Funktion print(), die einen Druckdialog öffnet. Dieser blockiert ebenfalls die URL-Änderung, er überlagert jedoch ausschließlich das Fenster, aus dem er aufgerufen wird. Dadurch war es Venis möglich, mit wenigen Zeilen Javascript ein Fenster zu öffnen, das beispielsweise die URL https://www.google.com/ anzeigte, jedoch einen von ihm kontrollierten HTML-Code enthielt. Dass Venis mit so wenig Aufwand auf eine Sicherheitslücke stieß, motivierte ihn, weiter nach ähnlichen Lücken zu suchen.

Sandbox-Kontext von Flash

Die Sandbox des Flash-Plugins arbeitet in verschiedenen Kontexten, die dem laufenden Flash-Code bestimmte Rechte einräumen. Eine SWF-Datei auf dem lokalen Dateisystem darf dabei auf andere Dateien zugreifen, verschiedene Mechanismen sollen aber verhindern, dass Daten ins Netz übertragen werden. Zugriffe sind nur auf lokale URLs (file://) möglich, also auf andere Dateien auf dem Dateisystem.

Stellenmarkt
  1. Cluno GmbH, München
  2. alanta health group GmbH, Hamburg

Chrome konvertiert bei lokalen URL-Aufrufen alle mehrfachen Slashes und Backslashes zu einzelnen Slashes. Nicht umgewandelt werden aber Slashes und Backslashes, die mit einem Prozent-Zeichen codiert sind. Dadurch lassen sich mit URLs der Form file:///C:/Users/Bob/%5C%2F%5C%2Ftest.html Daten an eine andere lokale HTML-Datei übertragen. Von dort aus kann man dann diese Daten problemlos mittels Javascript weiterverarbeiten und ins Netz übertragen.

Slashes ermöglichen Datenextraktion 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 69,90€ + Versand (Vergleichspreis 100,83€ + Versand)
  2. für 50,96€ mit Code: Osterlion19
  3. (aktuell u. a. ADATA XPG GAMMIX D3 DDR4-3200 8 GB für 49,99€ + Versand)

gaym0r 31. Mai 2015

Nach Satzzeichen folgt ein Leerzeichen.

shyps 31. Mai 2015

ich meine damit letztlich den komfort. es geht den entwicklern u.a. darum, teile der ui...

BLi8819 30. Mai 2015

Weil es noch nicht genug Browser gibt, die meist noch mehr Sicherheitslücken mit bringen...

cephei 29. Mai 2015

Das ist mir ohne Scheiss!! heute passier mit youtube.com 1 . JS Alert Message 2. Get new...

Milber 29. Mai 2015

Kleiner Tipp: Wer zu blöd ist für Rechtschreibregeln sollte niemandem Tipps geben.


Folgen Sie uns
       


Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


      Falcon Heavy: Beim zweiten Mal wird alles besser
      Falcon Heavy
      Beim zweiten Mal wird alles besser

      Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
      Von Frank Wunderlich-Pfeiffer und dpa

      1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
      2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
      3. Raumfahrt SpaceX - Die Rückkehr des Drachen

        •  /