Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Google Chrome (Logo)
Chrome gilt als Webbrowser mit einem besonders ausgeklügelten Sicherheitskonzept. Zahlreiche Schutzmechanismen, darunter Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) und ein spezielles Sandboxing-Konzept, sollen Chrome vor Angriffen schützen. Bei Hackerwettbewerben wie dem Pwn2Own Contest machte Chrome daher bislang stets eine gute Figur.
Nun gelang es Vupen jedoch offenbar, sämtliche Sicherheitsmechanismen zu umgehen und Chrome-Nutzern Schadcode auf den Rechner zu spielen. "We are (un)happy to announce that we have officially Pwnd Google Chrome and its sandbox," teilen die Sicherheitsforscher in ihrem offiziellen Blog mit. Man erklärt, der vorgestellte Angriff - auf den man offensichtlich sehr stolz ist - überwinde sämtliche Chrome-Sicherheitsfeatures, laufe vom Benutzer unbemerkt - also ohne Abstürze oder Fehlermeldungen - ab und funktioniere mit Hilfe von Zero-Day-Schwachstellen, die Vupen entdeckt habe. Der Angriff funktioniere auf 32-Bit- ebenso wie auf 64-Bit-Windows-Systemen, teilt man mit.
In einem Video demonstrieren die Sicherheitsforscher, wie sie einen Chrome-Nutzer auf eine manipulierte Website locken, die verschiedene Exploits nachlädt und letztendlich als Proof-of-Concept-Malware einen Taschenrechner herunterlädt. Dieser wird daraufhin außerhalb der Chrome-Sandbox gestartet.
Vupen teilt mit: "Dieser Code und die technischen Details der zugrunde liegenden Schwachstellen werden nicht öffentlich bekanntgegeben. Sie werden exklusiv an unsere Regierungs-Kunden als Teil unserer Sicherheitsforschungs-Tätigkeit weitergegeben." Es bleibt zu hoffen, dass auch Google als Entwickler über die Schwachstellen informiert wird - dies wird nicht explizit mitgeteilt - und diese beheben kann.
Update:
Gulli:News liegen mittlerweile nähere Informationen zur Disclosure-Politik von Vupen vor. Auf eine Anfrage per E-Mail teilte der CEO und Leiter der Forschungsabteilung von Vupen, Chaouki Bekrar, mit, Vupen teile seine Erkenntnisse "nur mit seinen eigenen Kunden, um ihnen zu helfen, Risiken zu bewerten und sich vor Zero-Day-Angriffen zu schützen". Man habe die technischen Details des Angriffs nicht an Google geschickt und Google hätte diese auch nicht nachgefragt.
Annika Kremer (g+) am Dienstag, 10.05.2011 17:23 Uhr
Danke. Hast du einen Link dazu? ...
Google hat sich nun zu dem Thema geäußert. Vupen hat gelogen und ein Flash-Plugin benutzt. Es gibt also keine Sicherheitsanfälligkeit. ...
Das gibt es nicht!! Da ist also ein ungepatchter Exploit vorhanden und man ist nicht der Meinung, Google das mitteilen zu müssen? Was für Popelfresser sind denn das?:rolleyes: Das sind "Blackhats" - Leute, die Hacken, um Geld zu verdienen und dabei auf Ethik pf ...
Das ist die gängige Praxis von kriminellen Hackern und nicht die eines "Sicherheitsunternehmens". Und wo genau ist der Unterschied? ...
Kommt drauf an wer die Kunden sind und wie viel die Zahlen;) Wenn Google 20.000$ gibt, die Kunden aber 100.000$, dann braucht man nicht lange überlegen, wer die Infos kriegt. Das ist die gängige Praxis von kriminellen Hackern und nicht die eines "Sicherheitsunternehmens" ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 14.05.2013, 13:52 Uhr
Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
