zurück zum Artikel

Das Update nimmt bösartigen Webseiten unter anderem die Möglichkeit, ungefragt Dateien auf dem System abzulegen, die beim späteren Öffnen zum Start von JavaScript-Code führen können.

Google hat das Sicherheits-Update 3.0.195.32 für seinen Browser Chrome [1] veröffentlicht, das zwei Sicherheitslücken behebt. So fehlten bislang in der Liste gefährlicher Dateitypen die Endungen SVG, MHT und XML, bei denen Chrome den Anwender vor dem automatischen Download warnt. Auf diese Weise ist es beispielsweise möglich, dass eine Webseite heimlich eine MHTML-Datei auf den Rechner eines Opfers ablegt.

Öffnet der Anwender diese MHT-Datei später unbedarft, so führt unter Windows der Internet Explorer darin enthaltenes JavaScript im lokalen Kontext aus, also mit Zugriff auf lokale Dateien. Auf dieser Weise könnte ein Angreifer laut Bericht auf Inhalte zugreifen und diese an seinen Webserver senden. Der Entdecker der Lücke hat in seinem Bericht dazu Links veröffentlicht, die das Problem demonstrieren sollen. In einem kurzen Test der heise-Security-Redaktion versagte der Test jedoch aufgrund der Sicherheitseinstellungen des Internet Explorers.

Zudem schließt das Update eine Schwachstelle in der Gears SQL API, durch die eine Webseite die SQL-Metadata durcheinanderbringen und somit einen Speicherfehler verursachen kann.

Siehe dazu auch:

• Stable Channel Update [2], Bericht von Google
• Using Blended Browser Threats involving Chrome to steal files on your computer [3], Bericht von Inferno

(dab [4])

URL dieses Artikels:
https://www.heise.de/-852313

Links in diesem Artikel:
[1] http://www.google.de/chrome
[2] http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html
[3] http://securethoughts.com/2009/11/using-blended-browser-threats-involving-chrome-to-steal-files-on-your-computer/
[4] mailto:dab@ct.de

Copyright © 2009 Heise Medien