Chrome führt Flash-Player in Sandbox aus
Um Angreifern das Leben schwerer zu machen, führt die aktuelle Entwicklerversion des Chrome-Browsers Adobes Flash-Plug-in in einer Sandbox mit eingeschränken Zugriffsrechten aus.
- Ronald Eikenberg
Die aktuelle Entwicklerversion (Dev-Channel) des Chrome-Browsers für Windows ist mit einer Sandbox für Adobes Flash-Plug-in ausgestattet. Gelingt es einem Angreifer, eine Sicherheitslücke in Adobes Flash-Plug-in auszunutzen, soll die Sandbox das Gröbste abfedern, indem sie etwa Zugriffe auf kritische Systembereiche blockiert. Adobes Flash-Player ist ein gefundenes Fressen für Eindringlinge, da er auf fast allen Rechnern installiert ist und laufend neue Lücken bekannt werden.
Google will diese zusätzliche Sicherheitsschicht weiter ausbauen; die derzeitige Fassung sei lediglich ein erster Schritt, die Angriffsfläche zu verkleinern. Auch die Chrome-Builds für andere Plattformen wollen die Entwickler mit der Flash-Sandbox ausrüsten. Deaktivieren kann man den Sandkasten mit dem Kommandozeilenparameter --disable-flash-sandbox. Chrome bringt bereits seit Mitte des Jahres die jeweils aktuelle Version des Flash-Plug-ins mit und hält diese auch eigenständig auf dem neuesten Stand.
Zudem enthält Chrome seit Version 6 einen leichtgewichtigen PDF-Viewer, der ebenfalls in einer Sandbox ausgeführt wird. Die Rendering- und JavaScript Engines von Chrome sind ohnehin seit jeher vom System abgeschottet. Auch Adobe hat die Vorteile der zusätzlichen Schutzschicht erkannt und führt die Rendering-Engine seines PDF-Viewers in der aktuellen Version X in einer Sandbox aus.
Laut Google profitieren vor allem XP-Nutzer von dem Flash-Sandboxing, da Chrome unter XP der einzige Browser sei, der Flash in einer Sandbox ausführen könne. Unter Windows Vista und 7 bietet der Internet Explorer seit Version 7 mit dem Protected Mode bereits eine ähnliche Schutzfunktion, die unter anderem der Flash-Player nutzt. (rei)