Ein Bug im Google Chrome-Browser ermöglichte es Webseiten über Audio- oder Video-Tags sensitive Daten aus den geöffneten Tabs abzugreifen. Google hat bereits ein Update zum Schließen der Sicherheitslücke bereitgestellt.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Ron Masas, ein Sicherheitsforscher bei Imperva, hat dieses Problem entdeckt, wie Bleeping Computer hier schreibt. Die Schwachstelle ist in CVE-2018-6177 dokumentiert und wurde vom Sicherheitsforscher an Google gemeldet. Diese Beschreibung ist aber imho recht kryptisch.
Inzwischen hat man aber bei Imperva diesen Blog-Beitrag mit Details veröffentlicht, die das Ganze erklärt. Die Schwachstelle verwendet HTML 5 Audio- und Video-Tags um bestimmte Daten zu lesen. Sie kann in älteren Versionen von Chrome ausgenutzt werden, wenn ein Angreifer ein Opfer auf eine bösartige Website locken kann (z.B. über Malvertising = bösartiger Code in Anzeigen, die auf legitimen Websites eingebettet sind). Dann lassen sich Daten der geöffneten Tabs u.u. über die HTML5-Tags ermitteln.
Der Browserhersteller hat die Sicherheitslücke Ende Juli mit der Veröffentlichung von Chrome v68.0.3440.75 geschlossen. Wer sich für das Thema interessiert, kann im Imperva-Blog oder bei Bleeping Computer Details nachlesen.
MVP: 2013 – 2016
