Google schließt kritische Lücke in Chrome
Die Sicherheitslücke ermöglichte Angreifern, eigene Befehle auf einem verwundbaren Windows-System auszuführen. Ursache des Problems ist die Parallelinstallation mehrerer Browser.
- Daniel Bachfeld
Google hat eine Sicherheitslücke in Googles Webbrowser Chrome geschlossen, die es Angreifern ermöglicht, eigene Befehle auf einem verwundbaren Windows-System auszuführen. Dazu muss das Opfer allerdings nach der Installation von Chrome eine manipulierte Webseite mit einem anderen Browser, etwa dem Internet Explorer aufrufen.
Ursache des Problems ist laut Google die Verarbeitung Chrome-spezifischer URLs in anderen Browsern, durch die es möglich ist, eine neue Chrome-Instanz mit einer beliebigen Adresse zu starten. Durch Anfügen bestimmter Parameter lassen sich auf diese Weise auch Befehle auf dem System ausführen und Programme starten – beispielsweise ein FTP-Programm, das eine Backdoor nachlädt und startet. Google hat das Problem in der stabilen Version 1.0.154.48 beseitigt. Die Updates sind über die Funktion "Google Chrome anpassen/Info zu Google Chrome" zu beziehen.
Das Problem ist eigentlich altbekannt: Bereits Mitte des Jahres 2007 entstand eine Sicherheitslücke durch die Parallelinstallation von Firefox und Internet Explorer. Seinerzeit entbrannte zwischen den Firefox-Entwicklern und Microsoft ein Streit darum, wer für den Fehler verantwortlich sei. Die eine Seite gab Firefox 2 dafür die Schuld, da er spezielle URIs registriert. Andere wiederum sahen den Internet Explorer als Verursacher, da er die URI respektive URL ohne weitere Prüfung aufrief. Die Lücke würde aber sowohl in Firefox als auch im Internet Explorer respektive Windows geschlossen. Warum dieses Problem nun erneut zum Tragen kommt oder ob es auf gepatchten Windows-Systemen eigentlich gar keines ist, ist derzeit unklar und müssen weitere Tests zeigen.
Siehe dazu auch:
- Lücke durch parallele Installation von Firefox 2 und Internet Explorer, Bericht auf heise Security
- Firefox und Internet Explorer 7 vertragen sich immer noch nicht, Bericht auf heise Security
- Neue Erkenntnisse zur "Firefox-Lücke", Bericht auf heise Security
- Neue Firefox-Version mit Sicherheitskorrektur für URI-Lücke, Bericht auf heise Security
- Microsoft will URI-Lücke in Windows patchen, Bericht auf heise Security
- Microsoft patcht URI-Sicherheitslücke, Bericht auf heise Security
(dab)
