Google Chrome: Sicherheitslücke ermöglicht Auslesen von Passwörtern (Update)

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Eine weitere Schwachstelle im Chrome-Browser des US-amerikanischen Suchmaschinenkonzerns Google wurde entdeckt: Mit Hilfe einer schädlichen Datei kann ein Angreifer die vom Nutzer festgelegten Passwörter auslesen und im Anschluss Teile des Systems übernehmen.
Laut Threatpost hat Bosko Stankovic, ein Sicherheitsforscher bei DefenseCode, jetzt herausgefunden, dass die Standard-Konfiguration von Google Chrome einen schwerwiegenden Fehler aufweist. Normalerweise werden Dateien, die als sicher eingestuft werden, automatisch heruntergeladen.

Betroffen ist die aktuellste Version des Browsers, welche auf dem Microsoft-Betriebssystem Windows 10 läuft. Gefährlich werden hier Dateien mit einer SCF-Endung: Laut Stankovic handelt es sich bei SCF-Dateien um ein altes Format, welches hauptsächlich unter Windows 98 verwendet wurde und eine einfache Möglichkeit darstellte, den Desktop über ein Shortcut zu erreichen.


Windows 10 möchte Icon herunterladen

Grundlegend bestehen die Skripte aus einem Textinhalt, welcher bestimmte Befehle ausführen und einen Icon-Speicherort festlegen kann. Die Icon-Datei wird bereits beim Navigieren in das entsprechende Download-Verzeichnis geladen und dargestellt: Wird ein entfernter Pfad angegeben, welcher das Vorschaubild enthalten soll, versucht das Betriebssystem, sich an diesem Server mit den Daten des Nutzers anzumelden.

So muss der Nutzer nur die Internetseite des Angreifers besuchen, damit die schädliche Datei heruntergeladen und unbemerkt ausgeführt wird. Da die Login-Daten ausgelesen werden können, können im Anschluss weitere Attacken durchgeführt werden, um an weite Teile des Zielsystems zu gelangen.

Google arbeitet an einem Patch

Obwohl DefenseCode den Suchmaschinenbetreiber nicht direkt informiert hat, ist das Problem inzwischen bei Google bekannt. Das Unternehmen betonte, bereits an einem Patch zu arbeiten, welcher die Sicherheitslücke unschädlich machen soll. In der Zwischenzeit kann der Anwender allerdings auch selbst Maßnahmen ergreifen, um das Internet sicherer verwenden zu können. Um sich gegen mögliche Angriffe zu schützen, muss lediglich eine Option in den Einstellungen des Browsers verändert werden.

In den erweiterten Einstellungen kann ausgewählt werden, dass vor dem Herunterladen einer Datei gefragt werden soll, in welchem Verzeichnis der Download abgelegt wird. So ist es nicht mehr möglich, dass sich eine schädliche Datei selbstständig auf den Rechner lädt. Andere Browser wie der Edge-Browser von Microsoft oder Mozilla Firefox erlauben keinen automatischen Download von SCF-Dateien und sind daher überhaupt nicht anfällig.

Update vom 24.05.2017: Wie wir leider soeben erst erfahren haben, wurde die Lücke von Google bereits am 16.05.2017 geschlossen. Wir danken dem Einsender für diesen Hinweis.

Download
Chrome - Webbrowser von Google
Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden