09.03.2012
Sicherheit
Ende eines Mythos: Google Chrome gehackt
Autor: Thorsten Eggeling
Auf der Sicherheitskonferenz in CanSecWest musste sich Chrome den Hackern stellen. Der Browser wurde in zwei Wettbewerben binnen kurzer Zeit über unterschiedliche Schwachstellen gehackt.
Google Chrome gilt als besonders sicherer Browser. Der Programmcode wird in einem abgeschotteten Bereich ausgeführt („Sandbox“), wodurch unerlaubte Zugriffe auf das Betriebssystem verhindert werden sollen. Sicherheitslücken haben so keine ernsthaften Auswirkungen. Soweit die Theorie. Dass die Praxis anders aussieht, wurde jetzt auf der Sicherheitskonferenz CanSecWest bewiesen. Zwei Teilnehmern der Sicherheitskonferenz ist bei Hacking-Wettbewerben unabhängig voneinander das scheinbar Unmögliche geglückt. Sie schafften es, mit unterschiedlichen Methoden die aktuelle Version von Google Chrome zu kompromittieren.
Eine der Lücken entdeckte der Sicherheitsforscher Sergey Glazunov. Er schaffte es bei Googles Pwnium-Wettbewerb, die Sandbox der aktuellen Chrome-Version unter Windows 7 zu umgehen. Dazu entwickelte er einen eigenen Zero-Day-Exploit. Google entlohnte den Hacker mit 60.000 US-Dollar. Die Sicherheitslücke hat Google innerhalb von 24 Stunden mit dem Update auf Chrome 17.0.963.78 geschlossen. Dieses Update beseitigt außerdem Probleme mit Flash-Spielen und Flash-Videos.
Eine andere Schwachstelle im Chrome-Browser konnte ein Team der Sicherheitsfirma Vupen Security am Pwn2Own-Wettbewerb ausfindig machen. Die Experten des französischen Unternehmens ist es gelungen Google Chrome 11.0.696.65 zu hacken und Schadcode auszuführen. Ein Video auf Youtube untermauert diese Behauptung. Das Video zeigt, wie nach Aufruf einer präparierten Webseite in Chrome der Windows-Taschenrechner startet. Stattdessen könnte beliebiger Schadcode ausgeführt werden. Damit der Angriff funktioniert, mussten zwei Schwachstellen ausgenutzt werden. Zuerst wurden die Windows-Schutzfunktionen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) umgangen. Erst danach konnte durch einen weiteren Fehler der Ausbruch aus der Sandbox erfolgen.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
FTTH
Easybell vermarktet jetzt auch Glasfaseranschlüsse
Die Berliner Easybell vermarktet jetzt auch Glasfaseranschlüsse für Privat- und Geschäftskunden. Die FTTH-Anschlüsse kommen dabei von der Telekom.
>>
Auf der Anga Com
AVM zeigt mit der FritzBox 5690 Pro sein neues Top-Modell
Der Berliner Hersteller AVM nutzt die Breitbandmesse Anga Com, um einige neue FritzBox-Modelle vorzustellen. Darunter sein neues Flaggschiff 5690 für den Glasfaser- und DSL-Anschluss. Es soll im Sommer auf den Markt kommen.
>>
Open Access
Plusnet und Deutsche Giganetz kooperieren
Die Deutsche Giganetz GmbH schließt sich der Open Access Plattform von Plusnet an. Durch die Kooperation kann Plusnet auf 500.000 Glasfaseranschlüsse in elf Bundesländern zugreifen.
>>