Browser-Update für Chrome

Google stopft alte Click-Jacking-Lücke in Chrome

Google hat seinen Web-Browser Chrome aktualisiert, um eine altbekannte Schwachstelle zu beheben. Sie betrifft das Zusammenspiel mit dem Flash Player und ermöglicht Click-Jacking.

© Frank Ziemann

Google aktualisiert Chrome wegen Click-Jacking-Luecke: Der Suchmaschinengigant hat eine alte Sicherheitslücke gestopft.

Die neue Chrome-Version 27.0.1453.116 beseitigt ein Flash-Problem, das eigentlich seit fast zwei Jahren als gelöst gilt. Es war jedoch in bisherigen Chrome-Versionen noch vorhanden, wie der Sicherheitsforscher Egor Homakov kürzlich entdeckt hat. Es geht um so genanntes Click-Jacking beim Einstellungsmanager für den Flash Player.

Vor Flash Player 10.3 gab es ein auf der Adobe-Webseite bereit gestelltes Flash-Objekt ("Settings Manager"), mit dem man Einstellungen für den Flash Player vornehmen konnte, etwa den Zugriff auf Kamera und Mikrofon verbieten. Ab Version 10.3 hat ein lokal installiertes Applet der Windows-Systemsteuerung diese Aufgabe übernommen. Bei Mac OS X und Linux gibt es vergleichbare Lösungen.

Bei der Variante des Click-Jacking, um die es hier geht, wird ein transparentes, mithin unsichtbares Flash-Objekt über den Settings Manager gelegt. Der Angegriffene meint, er würde eine bestimmte Einstellung für den Flash Player vornehmen, tatsächlich wird der Mausklick entführt, also durch das transparente Objekt für einen anderen Zweck missbraucht. So könnte der Benutzer etwa den Zugriff auf Kamera und Mikrofon erlauben, obwohl er meint, er verbiete ihn gerade.

Diese Angriffsmöglichkeit bestand nur noch in Chrome, das einen integrierten Flash Player enthält. Mit dem gestrigen Chrome-Update sollten derartige Angriffe Geschichte sein. Chrome aktualisiert sich im Regelfall automatisch. Sie können das Update auch manuell anstoßen, indem Sie den Menüpunkt "Über Google Chrome..." aufrufen.

Mehr zum Thema

Safe Browsing

Um die Installation schädlicher Chrome-Erweiterungen zu erschweren, haben Googles Entwickler das Safe Browsing verbessert, das vor schädlichen…
Browser-Updates

Google hat Chrome 33.0.1750.146 als Download veröffentlicht und 19 Sicherheitslücken gestopft. Die Opera-Entwickler ziehen mit Opera 20.0.1387.64…
Microsoft Patch Day

Microsoft bringt zum Patch Day vier Security Bulletins. Zwei behandeln als kritisch eingestufte Lücken im Internet Explorer und in allen…
Chrome, Firefox & Opera

Auch wenn User im Internet per Inkognito-Modus unterwegs sind und keine Cookies speichern, können Nutzer nachverfolgt werden.
Webpage Screenshot löschen

Wer die Chrome-Erweiterung Webpage Screenshot nutzt, sollte das Addon sofort löschen. Das Tool zum Abfotografieren von Webseiten spioniert Nutzer aus.