Comodo: Sicherheitsdesaster beim Chromodo-Browser

Der von der Commodo Internet Security-Suite installiere Chromodo-Browser ist sicherheitstechnisch das reinste Desaster – wie nun öffentlich geworden ist. Hier ein paar Informationen.


Anzeige

Comodo ist ja ein Unternehmen, welches einerseits als Softwareanbieter für Sicherheitsprodukte und andererseits als Austeller von SSL-Zertifikaten auftritt. Also eine "vertrauenswürdige Institution"? Mitnichten, wie diverse Blog-Beiträge von mir zeigen (siehe Links am Artikelende).

Das Desaster mit dem Chromodo-Browser

Ich wurde bereits vorgestern in meinem Google+-Stream von diesem Beitrag über das Thema informiert. Tavis Ormandi von Googles Project Zero geht in Google Security Search auf die Comodo Chromodo-Browserlösung ein. Laut Comodo Eigenwerbung eine Lösung, die einen sicher beim Surfen macht, benutzerfreundlich sei und noch einiges mehr. Das Urteil von Tavis Ormandi fällt dagegen deutlich anders aus. Wer die Commodo Internet Security-Suite installiert, bekommt einen neuen Standard-Browser, den von Google Chrome abgeleiteten Comodo-Browser Chromodo. Kann man ja zur Kenntnis nehmen, obwohl dass schon strange ist. Aber es kommt noch besser. Hier ein Zitat von Tavis Ormandi:

Chromodo is described as "highest levels of speed, security and privacy", but actually disables all web security. Let me repeat that, they  ***disable the same origin policy***…. ?!?..

Wie bereits oben ausgeführt, beschreibt Comodo den Chromodo als "highest levels of speed, security and privacy". Aber Tavis Ormandi hat mal wieder die Inkompetenz von Comodo nachgewiesen. Der Chromodo-Browser verstößt so gut wie gegen alle Feature zur Internetsicherheit, indem die Same Origin Policy nicht umgesetzt wird. Diese untersagt, dass aus Scripten im Client auf Objekte andere Webseiten zugegriffen werden kann.

Chromia Cookie Stealing
(Quelle: /code.google.com)

Mit einem simplen JavaScript, in einer Webseite eingebettet, demonstriert Tavis Ormandi, wie man Cookies von anderen Websitzungen "stehlen" bzw. auslesen kann. Der Flop wurde bereits vor 90 Tagen aufgedeckt und jetzt automatisiert offen gelegt. Falls es euch interessiert, heise.de hat einen Artikel zum Thema publiziert. Und da gibt es immer noch Anwender, die auf Comodo schwören.

Ähnliche Artikel:
SSL-GAU zwingt Browser-Hersteller zu Updates (heise.de)
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
Neues SSL-Problem: Comodo liefert ‚Adware' Privdog aus


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Comodo: Sicherheitsdesaster beim Chromodo-Browser

  1. wichteldampf sagt:

    Laut heise, dem Hort richtiger Schreibunck, handelt sich es um ein "Disaster":
    http://www.heise.de/newsticker/meldung/Comodos-Browser-Chromodo-ist-ein-Sicherheits-Disaster-3091870.html

    wohl Gicht inne Fingers, das heise-praktikums-Wesen…

  2. wichteldampf sagt:

    Schreibfehler im Text ?
    Hatte ich nicht gemeint. Fand und finde den heise-Artikel nur recht merkwürdig, so was die Schreibung angeht. Desaster heißt es nunmal im deutschen, disaster ist englisch.
    Darauf wurde dort ja auch bereits ausreichend deutlich hingewiesen… ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.