Exploit für Sicherheitslücke in Google Chrome

Für eine gerade erst entdeckte kritische Sicherheitslücke in Googles Webbrowser Chrome ist bereits ein Demo-Exploit aufgetaucht, mit dem sie sich aktiv ausnutzen lässt. Das Security Vulnerability Research Team des vietnamesischen Bkis entdeckte die Lücke: Beim Speichern einer HTML-Seite mittels „Saves as“ oder „Speichern als“ gibt es einen Buffer Overflow bei zu langem Namen der Titelleiste respektive zu langen Title-Tags. Durch die Lücke können Angreifer beliebigen Code einschleusen und zur Ausführung bringen. Betroffen ist Google Chrome 0.2.149.27. Nach Angaben der Entdecker der Lücke ist Google bereits informiert und hat den Fehler bestätigt. In Chrome 0.2.149.28 soll der Fehler behoben werden.

Mit der Vorgehensweise bei der Veröffentlichung seines Webbrowsers Chrome macht sich Google anscheinend keine Freunde unter Sicherheitsexperten – zumal bereits zuvor Schwachstellen entdeckt wurden, die kombiniert zu einer Sicherheitslücke anwachsen, in den von Google benutzten Softwarekomponenten aber bereits korrigiert wurden. Kritisiert wird nun unter anderem die Aufweichung des Begriffs „Beta-Version“, wenn ein Konzern wie Google einen Webbrowser zwar als Beta deklariert, dies aber wie bei den oft lange Zeit als Beta deklarierten Google-Diensten kaum einen Unterschied zu als fertig freigegebenen Diensten oder Software zu manifestieren scheint. Normale Anwender würden durch solche Vorgehensweisen daran gewöhnt, Beta-Software wie fertige Anwendungen zu behandeln.

Auch soll Google selbst den Browser bei den eigenen Produktivsystemen einsetzen; der Konzern hat ihn zudem ohne größere Warnung oder Einschränkungen millionenfach an normale Anwender verteilt – und sie dann mit kritischen Sicherheitslücken und Fehlern erst einmal ungeschützt Angriffen durch Cyberkriminelle ausgesetzt. Zwar veranstalten auch andere Konzerne wie Microsoft oder auch Projekte aus der Open-Source-Szene öffentliche Beta-Tests – immerhin aber wird dann deutlicher auf die Gefahren des Beta-Status hingewiesen, als dies Google bei Chrome gemacht hat. Zudem sind bereits bekannte Sicherheitslücken in den Beta-Versionen im Allgemeinen geschlossen, außerdem sind in der Regel stabile Vorgängerversionen zu den Betas verfügbar.

In diese Kerbe haut auch das Bundesamt für Sicherheit in der Informationstechnik (BSI): Es sei problematisch, dass Google ein Produkt in der Testversion aufgrund seiner Marktmacht einer breiten, zum Teil technisch wenig versierten Öffentlichkeit zugänglich mache, sagte BSI-Sprecher Matthias Gärtner gegenüber der Berliner Zeitung. Chrome sei zwar „bequem, aber kritisch“, nicht nur weil das Programm noch nicht ausgereift ist, sondern auch wegen der Datensammelwut von Google. „Google Chrome sollte nicht für den allgemeinen Gebrauch eingesetzt werden“, betonte Gärtner wie schon andere Sicherheitsexperten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.