Web-Sicherheit

Mai 12, 2011

Kritische Schwachstelle in Chrome ist offenbar ein Flash-Problem

Filed under: Allgemein — sebastiankuebeck @ 12:50

Das französische Sicherheitsunternehmen Vupen meldete vor kurzem eine vermeintliche Schwachstelle in Googles Chrome Browser für Windows, durch die es angeblich Hackern möglich sei, beliebigen Code auf dem Rechner des arglosen Surfers auszuführen und das trotz der Sicherheitsmechanisnen ADSR und DEP von Windows Vista und 7, die eigentlich genau das verhindern sollten. Ein als „Beweis“ veröffentlichtes Video und die Aussage von Vupen, dass lediglich Kunden und der Hersteller Google genauere Informationen über die Schwachstelle bekämen, legten eher den Schluss nahe, dass Vupen lediglich Aufmerksamkeit erregen wollte und die Schwachstelle unter normalen Umständen möglicherweise gar nicht ausnutzbar sei.

Laut Tavis Ormandy, Sicherheitsingenieur bei Google, handelt es sich bei der Schwachstelle tatsächlich um eine bis dato noch unbekannte Lücke in Adobe’s Flash-Plugin. Die Verwechslung sei, so Tavis Ormandy, dadurch entstanden, dass die französischen Forscher das Sandbox-Modell von Chrome nicht richtig verstanden hätten.

Chauki Bekrar, CEO von Vupen, sieht Google dennoch in der Verantwortung, weil der von seiner Firma entwickelte Exploit auch in der Lage sei, die Chrome-Sandbox zu verlassen. Auch habe Google die Sandbox für das integrierte Flash-Plugin entwickelt, nicht Adobe.

Offensichtlich ist also die Chrome-Sandbox nicht in der Lage, das Betriebssystem vor der Schwachstelle zu schützen. Das liegt höchstwahrscheinlich daran, dass das Flash-Plugins nicht mehr ordnungsgemäß funktioniert, wenn Google die Sandbox wirkungsvoller „abdichtet“.

Das ganze wirft natürlich ein verherendes Licht auf Adobe’s Flash-Plugin. Schließlich ist es noch nicht so lange her, dass Forscher nachgewiesen haben, dass man mit dem Flash-Plugin die Schutzmechanismen ADSR und DEP von Windows aushebeln kann, soferne eine Schwachstelle wie ein Buffer-Overflow in Adobe’s Flash Plugin vorhanden ist. Kurz darauf drangen Hacker unter Ausnutzung einer Lücke eben dieses Plugins in das Netzwerk des Sicherheitsdienstleisters RSA Security ein. Dabei stellte sich heraus, dass die Hacker eine Schwachstelle ausnutzten, für die Adobe zu diesem Zeitpunk noch keinen Patch zur Verfügung gestellt hatte, wodurch es für RSA Security praktisch unmöglich war, sich wirksam zu schützen, ohne auf das Flash-Plugin unternehmensweit zu verzichten.

Dies könnte (und sollte) Unternehmen, bei denen die Sicherheit eine große Rolle spielt (Energieversorger, Millitär, öffentliche Verwaltung, Banken), dazu veranlassen, das Flash Plugin und möglicherweise auch den Acrobat Reader generell aus dem Firmennetzwerk zu verbannen. Das könnte dann dazu führen, dass Webseitenbetreiber auf andere Technologien umsteigen, was zu einem erheblichen Verlust von Marktanteilen dieser Produkte führen könnte. Schließlich ist Flash bereits durch die Weigerung von Apple, das Plugin in das iPhone und iPad aufzunehmen, sowie durch den im Entstehen befindlichen Web-Standard HTML 5 unter Druck. So könnte das Plugin bald in der Bedeutungslosigkeit verschwinden, wenn Adobe es nicht rasch hinbekomt, seine Produkte wirksam und zeitgerecht abzusichern.

2 Kommentare »

  1. […] Darunter auch die Schwachstelle, die RSA Security zum Verhängnis wurde. Ob die von Vupen entdeckte Schwachstelle damit auch behoben ist, ist hingegen nicht klar. Hinterlasse einen Kommentar LikeSei der Erste, […]

    Pingback von Adobe kommt endlich in die Gänge und Patcht seinen Flash Player « Web-Sicherheit — Mai 13, 2011 @ 11:56 | Antwort

  2. Aha: eine Sandbox gebaut und gehofft, dass sie dicht hält?

    Kommentar von Philipp — Mai 13, 2011 @ 15:44 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: