Chrome-Bug ermöglichte sensitive Daten abzugreifen

Ein Bug im Google Chrome-Browser ermöglichte es Webseiten über Audio- oder Video-Tags sensitive Daten aus den geöffneten Tabs abzugreifen. Google hat bereits ein Update zum Schließen der Sicherheitslücke bereitgestellt.


Anzeige

Ron Masas, ein Sicherheitsforscher bei Imperva, hat dieses Problem entdeckt, wie Bleeping Computer hier schreibt. Die Schwachstelle ist in CVE-2018-6177 dokumentiert und wurde vom Sicherheitsforscher an Google gemeldet. Diese Beschreibung ist aber imho recht kryptisch.

Inzwischen hat man aber bei Imperva diesen Blog-Beitrag mit Details veröffentlicht, die das Ganze erklärt. Die Schwachstelle verwendet HTML 5 Audio- und Video-Tags um bestimmte Daten zu lesen. Sie kann in älteren Versionen von Chrome ausgenutzt werden, wenn ein Angreifer ein Opfer auf eine bösartige Website locken kann (z.B. über Malvertising = bösartiger Code in Anzeigen, die auf legitimen Websites eingebettet sind). Dann lassen sich Daten der geöffneten Tabs u.u. über die HTML5-Tags ermitteln.

Der Browserhersteller hat die Sicherheitslücke Ende Juli mit der Veröffentlichung von Chrome v68.0.3440.75 geschlossen. Wer sich für das Thema interessiert, kann im Imperva-Blog oder bei Bleeping Computer Details nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit Chrome, Sicherheitslücke verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.