Google Chrome: Bug ermöglicht Datenklau

[English]In allen Chromium-Browsern (Google Chrome, Edge, Opera) gibt es einen fetten Bug CVE-2020-6519. Der Bug führt zu einer Schwachstelle, die es Angreifern  ermöglicht, die Schutzfunktion der Content Security Policy (CSP) zu umgehen und Daten von Website-Besuchern abzugreifen.


Anzeige

Der Bug ist im Chromium-Tracker seit März 2020  beschrieben – ich bin aber über folgenden Tweet auf den Sachverhalt aufmerksam geworden.

Chrome vor Version 84 betroffen

Der Fehler (CVE-2020-6519) wurde in Chrome, Opera und Edge, auf Windows, Mac und Android gefunden. Sicherheitsforscher Gal Weizman hat das Ganze inzwischen hier offen gelegt. Der Sicherheitsforscher war sehr überrascht, als erdiese Zero-Day-Schwachstelle bei Browsern auf Chrombasis – Chrome, Opera, Edge – unter Windows, Mac und Android entdeckte. Der Bug ermöglichte es Angreifern , die CSP-Regeln der Chrome-Versionen 73 (März 2019) bis 83 (Juli 2020) vollständig zu umgehen. Erst der Chrome 84 (siehe) behebt diese Schwachstelle.

Um das Ausmaß dieser Schwachstelle besser zu verstehen: Die Zahl der potenziell betroffenen Benutzer geht in die Milliarden, denn Chrome hat alleine über zwei Milliarden Benutzer. Einige der beliebtesten Websites im Web wie Facebook, WellsFargo, Gmail , Zoom, Tiktok, Instagram, WhatsApp, Investopedia, ESPN, Roblox, Indeed, Blogger, Quora und andere sind für diese Schwachstelle anfällig.

Das CSP soll schützen

Das Content Security Policy (CSP) ist im Grunde ein Satz von Regeln, die von der Website festgelegt werden und die der Browser hier zu respektieren und im Namen der Website durchzusetzen hat. Mit diesen Regeln kann die Website den Browser auffordern, bestimmte Anfrageaufrufe, bestimmte Arten der Ausführung von Javascript-Code und vieles mehr zu blockieren/zu erlauben, wodurch die Sicherheit der Website-Besucher erhöht und sie vor potenziell eingeschleusten bösartigen Skripten oder Cross-Site-Scripting (XSS) geschützt werden.

Eine Schwachstelle im CSP bedeutet nicht direkt eine Datenschutzverletzung, da die Angreifer es auch schaffen müssen, das bösartige Skript von der Website aus aufrufen zu lassen (weshalb die Schwachstelle als mittelschwere Schwachstelle eingestuft wurde).

CSP mit einem Einzeiler aushebeln

Gal Weizman ist es gelungen, das CSP mit einem Einzeiler auszuhebeln – wie er in diesem Blog-Beitrag schreibt. Es reicht die Verwendung eines iFrame-Tags. Weizmann hat dann ein Proof of Concept veröffentlicht.  Nutzer sollten also zeitnah auf die Version 84 des Chrome Browsers oder eines Chromium Clones aktualisieren.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Google Chrome: Bug ermöglicht Datenklau

  1. 1ST1 sagt:

    Chrome aktualisiert sich doch auf allen Plattformen automatisch? Also, wieviele Benutzer sind wirklich betroffen?

    • Oli W. sagt:

      Nicht vergessen … es gibt halt auch noch so Typen wie mich, die einen Computer nicht alles automatisch machen lassen!

    • Steter Tropfen sagt:

      Ich weiß jetzt nicht, wie es beim Google-Fanbrowser ist, aber bei Vivaldi erfolgt die automatische Updatesuche in Form eines ständig im Hintergrund laufenden Dienstes. So was gefällt mir gar nicht, ein Check beim Programmstart würde voll und ganz ausreichen. Da es in den Optionen aber nur ein „entweder so oder gar nicht" gibt, habe ich die Option deaktiviert.

      Gerade als sicherheitsbewusster Benutzer stellt man automatische Aktualisierungen gern ab bzw. nutzt Software, die einen wenigstens vorher fragt. Es sollte sattsam bekannt sein, dass „Update" nicht gleichbedeutend mit „Verbesserung" oder „mehr Sicherheit" ist. Außerdem kann diese Automatik versagen: in so einem Fall ist man monatelang mit einem veralteten Programm unterwegs und merkt es gar nicht.
      Dann doch lieber selbst hin und wieder nach Updates schauen lassen. Dafür ist so ein Artikel immer ein nützlicher Anstoß.

      • 1ST1 sagt:

        Man kann das mit der Sicherheit aber auch anders sehen, in dem man den Anspruch erhebt, bei Programmstart sofort die neueste Version zu haben, und nicht erst warten muss, bis der Updatevorgang innerhalb des Programms getriggert wurde und irgendwann mal abgeschlossen ist und dann das Programm auch erst noch neu gestartet werden muss, was vielleicht weitere Updates (Addons…) nach sich zieht. Wer kennt das nicht, ich brauche mal eben gerade schnell noch die und die Information, und dann wartet man ewig auf den Update-Balken. Und das passiert dann gerade, wenn man eh schon unter Zeitdruck ist, schon jemand auf einen wartet, oder wenn man in einem Telefonat ist und die Info sofort parat haben wollte… Da finde ich doch so eine automatische Hintergrundaktualisierung am elegantesten…

Schreibe einen Kommentar zu Steter Tropfen Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.