Browser-Update für Chrome

Google stopft alte Click-Jacking-Lücke in Chrome

Google hat seinen Web-Browser Chrome aktualisiert, um eine altbekannte Schwachstelle zu beheben. Sie betrifft das Zusammenspiel mit dem Flash Player und ermöglicht Click-Jacking.

Google aktualisiert Chrome wegen Click-Jacking-Luecke: Der Suchmaschinengigant hat eine alte Sicherheitslücke gestopft.

© Frank Ziemann

Google aktualisiert Chrome wegen Click-Jacking-Luecke: Der Suchmaschinengigant hat eine alte Sicherheitslücke gestopft.

Die neue Chrome-Version 27.0.1453.116 beseitigt ein Flash-Problem, das eigentlich seit fast zwei Jahren als gelöst gilt. Es war jedoch in bisherigen Chrome-Versionen noch vorhanden, wie der Sicherheitsforscher Egor Homakov kürzlich entdeckt hat. Es geht um so genanntes Click-Jacking beim Einstellungsmanager für den Flash Player.

Vor Flash Player 10.3 gab es ein auf der Adobe-Webseite bereit gestelltes Flash-Objekt ("Settings Manager"), mit dem man Einstellungen für den Flash Player vornehmen konnte, etwa den Zugriff auf Kamera und Mikrofon verbieten. Ab Version 10.3 hat ein lokal installiertes Applet der Windows-Systemsteuerung diese Aufgabe übernommen. Bei Mac OS X und Linux gibt es vergleichbare Lösungen.

Bei der Variante des Click-Jacking, um die es hier geht, wird ein transparentes, mithin unsichtbares Flash-Objekt über den Settings Manager gelegt. Der Angegriffene meint, er würde eine bestimmte Einstellung für den Flash Player vornehmen, tatsächlich wird der Mausklick entführt, also durch das transparente Objekt für einen anderen Zweck missbraucht. So könnte der Benutzer etwa den Zugriff auf Kamera und Mikrofon erlauben, obwohl er meint, er verbiete ihn gerade.

Diese Angriffsmöglichkeit bestand nur noch in Chrome, das einen integrierten Flash Player enthält. Mit dem gestrigen Chrome-Update sollten derartige Angriffe Geschichte sein. Chrome aktualisiert sich im Regelfall automatisch. Sie können das Update auch manuell anstoßen, indem Sie den Menüpunkt "Über Google Chrome..." aufrufen.

Mehr zum Thema

Youtube verbreitet Trojaner
YouTube

Die Sicherheitsfirma Bromium berichtet, dass YouTube von Cyber-Kriminellen für einen Malware-Angriff missbraucht wurde. Dieses Mal handelt es sich um…
Google und die Entwickler von Opera haben Browser-Updates veröffentlicht.
Browser-Updates

Google hat Chrome 33.0.1750.146 als Download veröffentlicht und 19 Sicherheitslücken gestopft. Die Opera-Entwickler ziehen mit Opera 20.0.1387.64…
Wir haben Infos zum aktuellen Patch Day von Microsoft.
Microsoft Patch Day

Microsoft bringt zum Patch Day vier Security Bulletins. Zwei behandeln als kritisch eingestufte Lücken im Internet Explorer und in allen…
Das Browser-Tracking ist dank Cookies möglich - auch beim Inkognito-Modus.
Chrome, Firefox & Opera

Auch wenn User im Internet per Inkognito-Modus unterwegs sind und keine Cookies speichern, können Nutzer nachverfolgt werden.
Angriff via Chrome-Addon
Webpage Screenshot löschen

Wer die Chrome-Erweiterung Webpage Screenshot nutzt, sollte das Addon sofort löschen. Das Tool zum Abfotografieren von Webseiten spioniert Nutzer…