Sicherheitsforscher warnen vor kritischer Lücke in Chrome

Das französische Unternehmen Vupen hat einen Weg gefunden, die Sicherheitsfunktionen ASLR, DEP sowie die Sandbox des Google-Browsers auszuhebeln. Die Anfälligkeit steckt in Chrome 11 unter Windows. Google will die Angaben prüfen.

Vupen hat nach eigenen Angaben eine Möglichkeit gefunden, die in Googles Browser Chrome eingebauten Sicherheitsvorkehrungen zu umgehen. In einem Video demonstriert das französische Sicherheitsunternehmen einen erfolgreichen Angriff auf den Browser unter Windows.

„Der in dem Video gezeigte Exploit ist einer der raffiniertesten, die wir bisher gesehen und entwickelt haben, da er alle Sicherheitsfunktionen, darunter ASLR (Adress Space Layout Randomization), DEP (Datenausführungsverhinderung) und die Sandbox umgeht“, heißt es im Vupen-Blog. Der Exploit führe zudem nicht zu einem Absturz des Browsers. Er basiere auf einer bisher unveröffentlichten Schwachstelle in den 32- und 64-Bit-Versionen von Chrome.

In dem Video ist zu sehen, wie jemand mit Chrome 11.0.696.95 unter Windows 7 Service Pack 1 (64 Bit) dazu verleitet wird, eine manipulierte Website zu besuchen, die den Exploit hostet. Sobald das System kompromittiert wurde, lädt der Schadcode eine Taschenrechner-Anwendung nach, die laut Vupen anschließend außerhalb der Sandbox ausgeführt wird.

„Obwohl Chrome eine der sichersten Sandboxen besitzt und in den vergangenen drei Jahren immer den Hackerwettbewerb Pwn2Own überstanden hat, haben wir nun eine zuverlässige Möglichkeit gefunden, trotz Sandbox, ASLR und DEP Schadcode in Chrome auszuführen“, heißt es weiter in dem Blogeintrag.

Vupen kündigte an, den Exploit und auch die technischen Details der Schwachstelle nicht zu veröffentlichen. Die Kunden des Unternehmens sollen jedoch vorab Zugriff auf die Informationen erhalten.

„Wir sind derzeit nicht in der Lage, Vupens Angaben zu überprüfen, da wir bisher noch keine Detailinformationen von ihnen erhalten haben“, sagte ein Google-Sprecher auf Nachfrage von ZDNet. „Sollten irgendwelche Modifikationen erforderlich sein, werden wir unsere Nutzer automatisch auf die neueste Chrome-Version aktualisieren.“

Die Sandbox-Technologie von Chrome wurde entwickelt, um Code von anderen Bereichen zu isolieren. Damit soll die von eingeschleusten Schädlingen ausgehende Gefahr verringert werden. Adobe hat inzwischen auch eine Sandbox in die Windows-Version seines PDF-Readers integriert.

Themenseiten: Browser, Chrome, Google

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher warnen vor kritischer Lücke in Chrome

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *