Browser-Update für Chrome

Google stopft alte Click-Jacking-Lücke in Chrome

Google hat seinen Web-Browser Chrome aktualisiert, um eine altbekannte Schwachstelle zu beheben. Sie betrifft das Zusammenspiel mit dem Flash Player und ermöglicht Click-Jacking.

Google aktualisiert Chrome wegen Click-Jacking-Luecke: Der Suchmaschinengigant hat eine alte Sicherheitslücke gestopft.

© Frank Ziemann

Google aktualisiert Chrome wegen Click-Jacking-Luecke: Der Suchmaschinengigant hat eine alte Sicherheitslücke gestopft.

Die neue Chrome-Version 27.0.1453.116 beseitigt ein Flash-Problem, das eigentlich seit fast zwei Jahren als gelöst gilt. Es war jedoch in bisherigen Chrome-Versionen noch vorhanden, wie der Sicherheitsforscher Egor Homakov kürzlich entdeckt hat. Es geht um so genanntes Click-Jacking beim Einstellungsmanager für den Flash Player.

Vor Flash Player 10.3 gab es ein auf der Adobe-Webseite bereit gestelltes Flash-Objekt ("Settings Manager"), mit dem man Einstellungen für den Flash Player vornehmen konnte, etwa den Zugriff auf Kamera und Mikrofon verbieten. Ab Version 10.3 hat ein lokal installiertes Applet der Windows-Systemsteuerung diese Aufgabe übernommen. Bei Mac OS X und Linux gibt es vergleichbare Lösungen.

Bei der Variante des Click-Jacking, um die es hier geht, wird ein transparentes, mithin unsichtbares Flash-Objekt über den Settings Manager gelegt. Der Angegriffene meint, er würde eine bestimmte Einstellung für den Flash Player vornehmen, tatsächlich wird der Mausklick entführt, also durch das transparente Objekt für einen anderen Zweck missbraucht. So könnte der Benutzer etwa den Zugriff auf Kamera und Mikrofon erlauben, obwohl er meint, er verbiete ihn gerade.

Diese Angriffsmöglichkeit bestand nur noch in Chrome, das einen integrierten Flash Player enthält. Mit dem gestrigen Chrome-Update sollten derartige Angriffe Geschichte sein. Chrome aktualisiert sich im Regelfall automatisch. Sie können das Update auch manuell anstoßen, indem Sie den Menüpunkt "Über Google Chrome..." aufrufen.