Laut den Angaben des BKIS beinhaltet die Version 0.2.149.27 die besagte Schwachstelle. Weitere Details hat das vietnamesische Sicherheitsteam auf seiner Webseite veröffentlicht. Daraus geht hervor, dass ein Angreifer mittels Fernangriff in das jeweilige System des Anwenders eindringen könnte. Um den Sachverhalt zu bestätigen wurde ein Vorführ-Exploit veröffentlicht.

Damit die Lücke ausgenutzt werden kann, muss der Besucher einer HTML-Webseite mittels "Speichern als" diese auf seiner Festplatte sichern. Der daraus entstehende Buffer-Overflow geht auf einen zu langen Namen in der Titelleiste (Title-Tag) zurück. Gegeben dem Fall ein Angreifer könnte einen ahnungslosen Besucher überzeugen, die Webseite auf seiner Festplatte abzuspeichern, so könnte dieser die Kontrolle über das System des Opfer übernehmen und zu seinen Zwecken missbrauchen. Google selbst verspricht eine Behebung des Fehlers mit dem kommenden Release 0.2.149.28.

Um der häufig kritisierten Datensammelwut von Google zu entgehen und dennoch den Browser des Unternehmens zu verwenden, hat die Firma Opwoco Security Solutions ein Tool entwickelt. Damit soll es möglich sein, die Benutzerverfolgung auf effektive Weise ausschalten zu können. Die Entwickler weisen alle Interessenten darauf hin, dass neben dem besonders bedenklichen Tracking des Benutzers und des Browsers auch ein weiteres Sicherheitsrisiko mit der eindeutigen ID einhergehen könnte. Sollte sich im Browser eine geeignete Schwachstelle ausfindig machen lassen, könnte es Angreifern möglich sein, die persönliche ID des Users zu entwenden. Die besagte ID könnte dann dazu verwendet werden um sich bei einem Angriff gegenüber Google als Browser des Opfers auszugeben. Auf der Webseite der Entwickler steht das Tool "silentio!" kostenlos zum Download bereit. (gS-)

(via zdnet.co.uk, thx!)