Chrome, Edge und Firefox

Browser-Schwachstelle: Passwörter im Klartext gespeichert

Eine Sicherheitslücke in Google Chrome erlaubt das Auslesen von Passwörtern im Klartext. Auch Edge und Firefox sollen betroffen sein. Google will dagegen jedoch nicht patchen.

News
VG Wort Pixel
Browser-Test 2020: Der neue Edge vs. Chrome & Firefox
Von der Schwachstelle scheinen alle Chromium-Browser betroffen.
© Intarapong / shutterstock.com / Google / Mozilla / Microsoft

Mehrere beliebte Browser auf Chromium-Basis sind von einer Sicherheitslücke betroffen, bei der Passwörter im Klartext ausgelesen werden können. Entdeckt wurde die Schwachstelle zufällig durch den Sicherheitsforscher Zeev Ben Porat von Cyberark. Laut ihm seien diese "quite concerning" - "ziemlich besorgniserregend".

Bei der Nutzung des Browsers werden Passwörter sowie weitere Daten wie URLs, aktive Cookies und Nutzungsnamen demnach unverschlüsselt im Speicher von Chrome abgelegt. Allerdings können Angreifende auch aktiv alle Passwörter, die im Passwort-Manager des Browsers hinterlegt sind, in den Speicher laden.

Die im Speicher abgelegten Daten können dann von Angreifenden extrahiert werden. Durch einen Vergleich des Speichers vor und nach dem Einloggen des Nutzers in einen Dienst lässt sich so etwa gezielt das verwendete Passwort herausfinden. Da im Speicher auch Session-Cookies liegen, könnte dabei sogar Zweifaktor-Authentifizierung umgangen werden.

Eine ähnliche Lücke war bereits 2015 von Satyam Singh von Infosec entdeckt und offengelegt worden.

Bereits im Original-Artikel von Cyberark wurde vermutet, dass von der Schwachstelle auch weitere Chromium-Browser wie Edge betroffen sind. Der IT-Blogger Günter Born konnte das in mehreren Tests bestätigen. Aber auch bei Mozillas Firefox scheint das Problem zu bestehen.

An Google gemeldet hatte Zeev Ben Porat die Lücke bereits am 29. Juli 2021. Allerdings teilte ihm das Unternehmen mit, die Schwachstelle nicht zu beheben und verwies auf das eigene Security-FAQ. Das Problem könne nur ausgenutzt werden, wenn die Angreifenden physischen Zugriff auf das Gerät hätten. Dies sei außerhalb des Gefahrenmodels von Chrome. Der Browser müsse sich darauf verlassen, dass man dem lokalen Nutzenden trauen könne.

Laut Born sei diese Aussage in der Theorie richtig, greife in diesem Fall jedoch zu kurz: "Kennwörter sollten nicht im Klartext im Browser-Speicher zu finden sein."

Microsoft Edge Logo 2019

Update verfügbar

Edge-Browser: Warnung vor kritischer Sicherheitslücke

Eine Sicherheitslücke mit der Risikostufe hoch wurde in Edge entdeckt. Microsoft behebt die Schwachstelle im Browser per Update.

14.6.2022 von Alana Friedrichs

Weiter zur Startseite  

Mehr zum Thema

Internet Sicherheit - sicher Surfen (Symbolbild)

Internet Sicherheit

Google Chrome vs. Firefox, Opera & Edge: Browser im…

Google Chrome ist der unangefochtene Platzhirsch bei den Browsern. Doch ist der Browser auch gut bei Sicherheit und Privacy? In unserem Test muss er…

Windows 11 Browser wechseln

Wechsel zu Chrome, Firefox und mehr

Windows 11 Tipps: Standard-Browser ändern

Windows 11 mag vieles leichter machen, verkompliziert aber den Wechsel des bevorzugten Browser. Wir zeigen, wie Sie den Standardbrowser in Windows 11…

Browser-Test 2020: Der neue Edge vs. Chrome & Firefox

Browser-Ranking

Microsoft Edge: Weltweit auf Platz 2 der Desktop-Browser

Microsoft Edge ist beliebter geworden und ist nun auf Platz 2 der am meisten genutzten Browser weltweit. Safari und Firefox müssen zurückstecken.

Microsoft Edge Logo 2019

Update verfügbar

Edge-Browser: Warnung vor kritischer Sicherheitslücke

Eine Sicherheitslücke mit der Risikostufe hoch wurde in Edge entdeckt. Microsoft behebt die Schwachstelle im Browser per Update.

Mozilla Cookies

Privatsphäre im Web

Firefox macht vollständigen Cookie-Schutz zum Standard

Firefox soll künftig der "privateste und sicherste große Browser" sein. Dafür aktiviert Mozilla jetzt den vollständigen Cookie-Schutz standardmäßig.