Chrome und Firefox leaken bei geschicktem Angriff geschützte Inhalte
Zwei der meistgenutzten Browser mussten von ihren Entwickler-Teams hinsichtlich der Implementierung neuer Standards im Rendering überarbeitet werden. Denn hier tat sich eine Sicherheitslücke auf, über die sich Inhalte auf anderen Seiten ausspionieren ließen, zu denen der Angreifer eigentlich keinen Zugang haben sollte.
Auch Fotos lassen sich rausholen
Betroffen hiervon waren sowohl Chrome als auch Firefox. Die anderen Browser waren gegen den konkreten Angriff nicht anfällig. Die Entwickler-Teams bei Google und Mozilla haben bereits reagiert und konnten die Schwachstelle beseitigen. Bei Chrome war das mit Version 63 Ende letzten Jahres der Fall, Firefox zog kürzlich mit der Version 60 nach. Daraufhin entschieden sich die Sicherheitsforscher, die auf das Problem aufmerksam wurden, jetzt für eine Veröffentlichung ihrer Erkenntnisse.
Der Angriff selbst, den zwei Forscherteams unabhängig voneinander entwickelten, funktioniert über iFrames. Diese ermöglichen es, andere Webinhalte in ein definiertes Feld der eigenen Seite einzubauen. Hier sorgt dann die so genannte Same-Origin-Policy dafür, dass der Seitenbetreiber keine Kenntnis darüber erlangen kann, was in dem iFrame dargestellt wird. Nur der Nutzer soll diese Kombination in fertiger Form zu Gesicht bekommen.
Diese minimalen Zeitunterschiede lassen sich messen und können per JavaScript weitergegeben an den Server zurückgeschickt werden. Dort lässt sich dann ein neues Bild zusammensetzen, auf dem der Inhalt des iFrames zu sehen ist. Die Forscher demonstrierten die Effektivität dessen, indem sie Facebook-Profile in das iFrame einbetten. Hier werden dann die vollständigen Profilinformationen des angemeldeten Nutzers angezeigt und lassen sich so quasi abfotografieren. Selbst Fotos können so in erkennbarer Qualität kopiert werden.
Download Chrome - Browser von Google Download Mozilla Firefox - Open-Source-Browser
Auch Fotos lassen sich rausholen
Betroffen hiervon waren sowohl Chrome als auch Firefox. Die anderen Browser waren gegen den konkreten Angriff nicht anfällig. Die Entwickler-Teams bei Google und Mozilla haben bereits reagiert und konnten die Schwachstelle beseitigen. Bei Chrome war das mit Version 63 Ende letzten Jahres der Fall, Firefox zog kürzlich mit der Version 60 nach. Daraufhin entschieden sich die Sicherheitsforscher, die auf das Problem aufmerksam wurden, jetzt für eine Veröffentlichung ihrer Erkenntnisse.
Der Angriff selbst, den zwei Forscherteams unabhängig voneinander entwickelten, funktioniert über iFrames. Diese ermöglichen es, andere Webinhalte in ein definiertes Feld der eigenen Seite einzubauen. Hier sorgt dann die so genannte Same-Origin-Policy dafür, dass der Seitenbetreiber keine Kenntnis darüber erlangen kann, was in dem iFrame dargestellt wird. Nur der Nutzer soll diese Kombination in fertiger Form zu Gesicht bekommen.
Minimale Zeitdifferenzen
Eine unsaubere Implementierung von neuen CSS-Funktionen ermöglichen es dem Seitenbetreiber aber, die Inhalte doch über einen Seitenkanalangriff auszuspionieren. Ausgenutzt wurde hier die Tatsache, dass über die ganze Seite gelegte Transparenz-Effekte mal schneller, mal langsamer umgesetzt werden - hier kommt es darauf an, wie der darunter liegende Pixel aussieht.Diese minimalen Zeitunterschiede lassen sich messen und können per JavaScript weitergegeben an den Server zurückgeschickt werden. Dort lässt sich dann ein neues Bild zusammensetzen, auf dem der Inhalt des iFrames zu sehen ist. Die Forscher demonstrierten die Effektivität dessen, indem sie Facebook-Profile in das iFrame einbetten. Hier werden dann die vollständigen Profilinformationen des angemeldeten Nutzers angezeigt und lassen sich so quasi abfotografieren. Selbst Fotos können so in erkennbarer Qualität kopiert werden.
Download Chrome - Browser von Google Download Mozilla Firefox - Open-Source-Browser
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen