Forscher umgehen Chrome-Sicherheitsmechanismen

[Annika_Kremer]

Sicherheitsforschern des französischen Unternehmens "Vupen Security" ist es nach eigenen Angaben gelungen, die Sicherheitsmechanismen von Googles Webbrowser Chrome erfolgreich zu überwinden. So gelinge es zuverlässig, Schadcode auf dem System des Opfers auszuführen, berichten die Experten. Für den vorgestellten Angriff werden zwei verschiedene Exploits verwendet.

zur News

[Willkuer]

absolut erstaunlich, was man alles hacken kann...

ich meine chrome wurde extra mit all diesen sicherheitsfeatures ausgestattet.. und trotzdem so unbemerkt übergangen...

ich dachte eigentlich, dass die entwicklung dahingeht, dass es immer schwerer wird zu hacken mit der Tendenz, dass zumindest kleine Programme unüberwindbar werden...

Für diese Tendenz gibt es aber offensichtlich keinerlei Beleg. Solange es sich nicht um ein kommandozeilenprogramm ohne input auf einer eigenen rechnerarchitektur ohne multithreading handelt, scheint alles hackbar...


wäre doch mal zeit für ein neues milleniumsrätsel ala P=NP...
"Ist jedes Programm hackbar?"

[budweiser1984]

"Sie werden exklusiv an unsere Regierungs-Kunden als Teil unserer Sicherheitsforschungs-Tätigkeit weitergegeben."

Wie ist das denn gemeint??

mfg

[CR123A]

"Sie werden exklusiv an unsere Regierungs-Kunden als Teil unserer Sicherheitsforschungs-Tätigkeit weitergegeben."

Wie ist das denn gemeint??

mfg

Ich hab das so verstanden das der Leak an die Regierungen weiterverkauft wird damit die ihre (Bundes)Trojaner einschleusen können!

[TRON2]

Na, zumindest ist es in dem Beispiel noch im PES zu erkennen. Das wird dann wohl nicht so bleiben.

[Luzifel]

Irgendwie sieht das derbst nach nem Fake aus O.o

Sobald sie das Fenster klein machen, is der Rechner im Hintergrund, wie gewohnt, alles okay so weit...

Doch achtet mal drauf was passiert wenn sie das Fenster wieder groß machen O.o

Etwas seltsam das der Rechner da plötzlich wieder im Vordergrund ist, obwohl nur der Browser maximiert wurde, oder?

Also ich glaub da nicht dran, denn normal bei Windows wäre, wenn der Rechner auch nach dem Maximieren im Hintergrund bleibt.

Für mich nen Fake...

Wahrscheinelich nur ne JS, Java oder mit anderer Sprache gecodete Seite, die den Rechner so darstellt und ihn als einzelnen Tab zählt. Ist nicht schwer zu fälschen und für nen echten Hack ist das mit dem Rechner, das der einfach in Vordergrund kommt, zu ungewöhnlich.

[Annika_Kremer]

Interessante Theorie. Aber Vupen ist bekanntermaßen eine seriöse Firma... da kann ich mir das schwer vorstellen... wenn es jetzt irgendwelche Chaoten-Scriptkiddies wären oder so ein Sauhaufen wie HBGary, okay, aber eine bekannte Sicherheitsfirma? Das halte ich für eher unwahrscheinlich. Ausschließen kann man's natürlich kaum...

[fleischwurscht]

Soll das jetzt heißen, Google wird NICHT informiert über die Details zum Exploit oder was??? Kann man also seine Chrome Installation jetzt in die Tonne treten?

[Annika_Kremer]

Soll das jetzt heißen, Google wird NICHT informiert über die Details zum Exploit oder was???

Du weißt soviel wie ich. Die Formulierung von Vupen diesbezüglich ist alles andere als eindeutig. Ich mail die nachher mal an und frag nach.

[A-P]

VUPEN wird sich mit Sicherheit nicht die "Preisgelder" entgehen lassen, die Google für Sicherheitslücken bezahlt. Zudem wäre es für ein "Sicherheitsunternehmen" mehr als unseriös den entsprechenden Entwickler der Software nicht über das gelungene Verfahren zu informieren und die Sicherheitslücke somit geöffnet zu lassen. Von daher kann man davon ausgehen, dass Chromium dieses Sicherheitsproblem demnächst löst.

[TRON2]

@Luzifel
Kein Fake, Process ist ja im PES sichtbar.

[casualguy]

Looool, den Exploit gibts schon länger.

EDIT: Ne, das ist ein Anderer, den den ich meinte läuft über Java und man muss bestätigen. xD

[Luzifel]

@Luzifel
Kein Fake, Process ist ja im PES sichtbar.

Nur weil der Task angezeigt wird unten, heißt es nicht gleich das es echt ist. Immerhin kann man mit Java auch einfach nen Style drüber legen, der in der Box bleibt und gut ist. Also das würde ich nun nicht als Garant dafür nehmen das es echt ist.

Ich weiß es aber eben nicht, weswegen ich auch nur meine Mutmasungen nennen kann, wovon keinerlei Sicherheit ausgeht.

Ich finde dieses windowsuntypische Verhalten eben nur verdammt seltsam, da Windows sowas normal nicht macht. Und das sieht aus wie Win7, das nutze ich auf Arbeit und zu Hause und konnte solch ein Verhalten noch NIE beobachten

Aber eben alles nur Erfahrungen und mutmasungen ohne Sicherheit auf Richtigkeit.

Kann ja auch ein Win7-Bug sein den ich bisher nicht kenne oder so, wer weiß

[fleischwurscht]

Du weißt soviel wie ich. Die Formulierung von Vupen diesbezüglich ist alles andere als eindeutig. Ich mail die nachher mal an und frag nach.

Ich muss auch ehrlich sagen, ich hör den Namen Vupen zum ersten Mal. Aber schon seltsam, wirkt nicht gerade seriös für ein Sicherheitsunternehmen, so eine derart schwammige Meldung rauszugeben.

[TRON2]

Nur weil der Task angezeigt wird unten,

Ich meinte eigentlich den "Process Explorer Sysinternals", aber du hast recht, genau wissen kann man das nie.

[Annika_Kremer]

Ich mail die nachher mal an und frag nach.

Update: Mail an die Presse-Abteilung ist raus, bin auf die Reaktion gespannt.

[choppx]

Was lernt man daraus? Lieber mit 'nem Underdog surfen ;)

[Annika_Kremer]

Update ist raus.

[Frggu]

[...]
ich dachte eigentlich, dass die entwicklung dahingeht, dass es immer schwerer wird zu hacken mit der Tendenz, dass zumindest kleine Programme unüberwindbar werden...
[...]
"Ist jedes Programm hackbar?"

Einer meiner Profs sagte mal, dass auf 10 Zeilen Code durchschnittlich ein Programmierfehler käme. Analogisiert man das auf den Sicherheitsbereich, so müsste ein Programm bei steigendem Umfang immer angreifbarer werden...Und Browser sind nicht gerade die Programme mit wenig Codezeilen nehm ich an..

Zum Video: Jeder Depp mit nem Calculatorknopf auf der Tastatur könnte so ein Video machen

[DerDick]

Beim maximieren springt auch der Mauscursor, an der Stelle ist definitiv ein Schnitt