Google schließt schwere Lücke im Browser Chrome

Browser Google hat seinen Browser Chrome gestern aktualisiert und dabei ein schwerwiegendes Sicherheitsproblem aus der Welt geschafft. Das Problem betrifft die Haupt-Version, also die als "stable" eingestufte Ausgabe und nicht die Betaversion 2.0. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
>>wenn ein Anwender Google Chrome installiert hat und eine präparierte Website mit dem Internet Explorer aufruft<<..warum ist das dann ein Problem von Chrome? Der IE fällt doch auf die präparierte Webseite herein und führt Code am System anscheinend ungeprüft aus. Das heißt Chrome muss sich nun auch noch gegen den localen IE wehren? Hmmmm, hatten wir das nicht vor einem Jahr schon mit dem IE und FF? Tja, immer wieder IE...
 
@Sam Fisher: Soll der IE das chromehtml-Protokoll überwachen?
 
@GordonFlash: Nein, aber er soll Chrome gar nicht starten dürfen..
 
@Sam Fisher: soso, dann auch gleich nicht mailto usw.?
 
@GordonFlash: Stimmt, darüber habe ich noch gar nicht nachgedacht. Aber heißt das, dass ein Browser jedes beliebige Programm starten kann? Dann kann ich ja quasi beliebigen Code ausführen....
 
@Sam Fisher: Das Problem beruht eher darauf, daß Chrome aufforderungen vom IE nicht ausführen soll -> Gar nicht erst starten. Warum sollte ein Browser A etwas dem Browser B anweisen sollen? Wo hingegen das mit Mailto wieder was anderes ist. Dahinter steht ja eine korrekte und kontrete Anwendung. Wäre halt nur interessant, ob das in die umgekehrte Richtung auch geht: Das der IE dem Chrome was unterjubelt.
 
@Sam Fisher: Auf Systemen, wo der Google Chrome nicht installiert ist, wird auch kein chromehtml-Protokoll ausgeführt, da es ja nicht installiert wurde. Und zu "ein Browser jedes beliebige Programm starten kann" - dafür muss das Programm auch auf dem Zielsystem installiert sein. Einem Hacker nützt es nichts, bei Dir ein Programm zu starten, dass nicht installiert ist.
 
@GordonFlash: Das heißt, ...die Portable würde es demzufolge auch nicht betreffen?
 
@Marlon: Wenn Chrome einen eigenen Protcol Handler installiert, dann muss er auch dafür sorgen das er sicher ist. Es macht für den Browser (IE, Firefox) keinen Unterschied ob er mailto: oder chromehtml:// oder edonkey:// aufruft. Es ist eindeutig die Schuld von dem Programm das sich den Handler registriert.
 
@nightdive: Wenn du ein handler im Firefox aufrufst, fragt er dich ob du das Programm was diesen registriert hat wirklich starten willst... macht dies der IE auch?
 
Das Problem am Google Chrome ist doch das Google. :-)
Sry, aber da wäre ich dran erstickt. (- bitte)
 
@DIZA: nene... von mir +
 
@DIZA: Hast Du etwa etwas gegen Google? Die stellen doch alles kostenlos zur Verfügung (Suche, Browser, Tabellenkalkulation usw.) - Im Gegenzug wollen Sie nur die Kleinigkeit wissen, wer und wo Du bist, und welchem Marketingprofil Du entsprichst ...
 
@GordonFlash: ... den Namen deines Erstgeborenen, die Kontonummer, das Autokennzeichen, Fingerabdruck, ... Nicht gleich losflamen -> Wer Ironie findet darf diese gerne behalten :-)
 
@Marlon: Hm ein schlechter Versuch, durch Überspitzung, die Tatsachen ins Lächerliche zu ziehen.
 
@GordonFlash: Lass gut sein. basht mich lieber ^^
 
Vielleicht sollte man erwähnen, wenn man die Sicherheitswarnung vom IE ignoriert, dieser "Bug" erst im Chrome ermöglicht wird.
Eigentlich sollte das ja auch mit dem FireFox gehen, wenn dieser als Browser verwendet wird.
Kommentar abgeben Netiquette beachten!