Sicherheits-Update für Googles Chrome
Das Update beseitigt eine universelle Cross-Site-Scripting-Lücke, durch die sich JavaScript im beliebigen Kontext ausführen lässt. Ein Angriff funktioniert aber nur in Zusammenhang mit dem Internet Explorer.
- Daniel Bachfeld
Google hat das Sicherheits-Update 1.0.154.59 für seinen Browser Chrome veröffentlicht, um kritische Sicherheitslücken zu schließen. Ursache der Probleme ist die fehlerhafte Verarbeitung der Chrome-spezifischen URI chromehtml: – allerdings nur, wenn sie mit dem Internet Explorer aufgerufen wird. So führt die Verarbeitung des JavaScript-Befehls
document.location = 'chromehtml:"80 javascript:eval('alert(\'JavaScript%20Code%20Executed\'); '));'
im Internet Explorer dazu, dass Chrome mit zwei Tabs gestartet wird und in einem davon das eingefügte JavaScript ausführt. Allerdings ist das Skript keiner Domain zugeordnet, sodass sich damit laut Beschreibung in Zusammenhang mit einer weiteren Schwachstelle die Same-Origin-Policy umgehen lässt und der Zugriff auf andere Domains möglich ist. Die Entwickler bezeichnen die Lücke in ihrem Bericht als Universal Cross Site Scripting (UXSS), da es sich auf beliebige Seiten respektive Domain anwenden lässt.
Angreifer könnten auf diese Weise Anwendern die Cookies auslesen und Phishing-Attacken durchführen. Der Angriff funktioniert aber nur, wenn Chrome nicht bereits läuft. Bei den Vorabversionen von Chrome 2.0 soll der beschriebene Angriff nicht funktionieren. Die Updates für die Version 1.x sind über die Funktion "Google Chrome anpassen/Info zu Google Chrome" zu beziehen.
Bereits im Februar ergab sich aus der Parallelinstallation von Internet Explorer und Chrome ein Sicherheitsproblem. Damals war es möglich, Befehle auf einem verwundbaren Windows-System auszuführen und Programme zu starten.
Siehe dazu auch:
- Stable Update: Security Fix, Bericht von Google
- Google schließt kritische Lücke in Chrome, Meldung auf heise Security
(dab)
