Ein Bug im Google Chrome-Browser ermöglichte es Webseiten über Audio- oder Video-Tags sensitive Daten aus den geöffneten Tabs abzugreifen. Google hat bereits ein Update zum Schließen der Sicherheitslücke bereitgestellt.
Anzeige
Ron Masas, ein Sicherheitsforscher bei Imperva, hat dieses Problem entdeckt, wie Bleeping Computer hier schreibt. Die Schwachstelle ist in CVE-2018-6177 dokumentiert und wurde vom Sicherheitsforscher an Google gemeldet. Diese Beschreibung ist aber imho recht kryptisch.
Inzwischen hat man aber bei Imperva diesen Blog-Beitrag mit Details veröffentlicht, die das Ganze erklärt. Die Schwachstelle verwendet HTML 5 Audio- und Video-Tags um bestimmte Daten zu lesen. Sie kann in älteren Versionen von Chrome ausgenutzt werden, wenn ein Angreifer ein Opfer auf eine bösartige Website locken kann (z.B. über Malvertising = bösartiger Code in Anzeigen, die auf legitimen Websites eingebettet sind). Dann lassen sich Daten der geöffneten Tabs u.u. über die HTML5-Tags ermitteln.
Der Browserhersteller hat die Sicherheitslücke Ende Juli mit der Veröffentlichung von Chrome v68.0.3440.75 geschlossen. Wer sich für das Thema interessiert, kann im Imperva-Blog oder bei Bleeping Computer Details nachlesen.
2015
