Im von Google gerade erst veröffentlichten Webbrowser Chrome wurde bereits die erste Schwachstelle entdeckt. Zwar befindet sich das Programm noch im Beta-Stadium, doch da es sich bei der Schwachstelle um ein altbekanntes Problem im verwendeten WebKit handelt, wirft es ein schlechtes Licht auf Googles neueste Entwicklung.
Alte Schwachstelle, ...
Ursache der von Aviv Raff entdeckten Schwachstelle ist die bereits aus Safari bekannte "Carpet Bomb": Das standardmäßige Ablegen von Downloads auf dem Desktop ohne Rückfrage beim Benutzer konnte in Kombination mit dem Internet Explorer, der Bibliotheken auch vom Desktop lädt, zum Ausführen beliebigen Codes ausgenutzt werden. Die Schwachstelle wurde in Safari und dem zugrunde liegenden WebKit bereits vor einiger Zeit behoben. Google verwendet für Chrome aber zumindest zurzeit noch eine ältere Version von Webkit.
... neues Gewand
Aviv Raff hat einen Beispiel-Exploit veröffentlicht, der beim Besuch der Demo-Seite ohne Rückfrage beim Benutzer ein Java-Archiv (.jar) herunterlädt und im Download-Verzeichnis speichert. Beim Anklicken des passend benannten Download-Buttons in Chrome wird das Java-Programm dann gestartet. Bisher ist für den Angriff noch eine Aktion des Benutzers zum Start des Programms notwendig,eventuell lässt sich das aber auch über JavaScript automatisieren. Einige Benutzer haben sogar berichtet, dass auch Chrome Downloads ohne Rückfrage auf dem Desktop ablegt, womit das gleiche Angriffsszenario wie bei der Kombination aus Safari und Internet Explorer möglich wird.
Chrome ist besonders stabil...
... weil es jede Seite in einem eigenen Tab darstellt und dafür jeweils eine eigene Rendering-Engine verwendet. Gibt es durch eine Webseite Probleme, sind die in den anderen Tabs dargestellten Seiten davon nicht betroffen, das meint Google bzw. die Theorie. Praktisch hat Rishi Narang eine Schwachstelle gefunden, durch die alle Tabs zum Absturz gebracht werden können.
In dubio pro beta
Die strikte Trennung der einzelnen Websites in separate Tabs ist aus Sicherheitssicht ein sehr guter Ansatz. Berücksichtigt man, dass sich das Programm noch im Beta-Stadium befindet, ist das Absturz-Problem auch keine große Sache. Die Download-Schwachstelle finde ich dagegen inakzeptabel. Das Problem ist seit langem bekannt und behoben. Dann eine veraltete WebKit-Version zu verwenden, zeugt nicht gerade von Sicherheitsbewusstsein. Wenn Chrome sicherer als herkömmliche Browser sein soll, dann dürfen zumindest altbekannte Schwachstellen nicht übernommen werden. Aber warten wir erst mal ab, bis eine finale Version verfügbar ist.
Carsten Eilers
Kommentare
http://www.google.com/chrome/intl/de/privacy.html
[...]In die Adressleiste eingegebene URLs oder Suchanfragen werden an Google gesendet[...]
[...]Von Ihnen aufgerufene nicht vorhandene URLs werden möglicherweise an Google gesendet[...]
[...]Ihre Kopie von Google Chrome enthält mindestens eine eindeutige Anwendungsnummer[...]
[...]Diese [eindeutige und personalisierte] Nummern und Informationen zur Installation des Browsers (z. B. Versionsnummer, Sprache) werden bei der erstmaligen Installation und Verwendung der Anwendung und bei der automatischen Update-Prüfung von Google Chrome an Google gesendet[...]
Mehr darüber auch unter:
http://www.datenschutzbeauftragter-online.de/google-chrome-die-intention-liegt-auf-der-hand/
http://www.sueddeutsche.de/,tt2m1/computer/744/308687/text/
http://www.lawblog.de/index.php/archives/2008/09/03/chrome-nr-und-google-id/
Grüße #zitieren