Google Chrome: Last Man Standing? Nö!

8. März 2012 Kategorie: Backup & Security, Google, Internet, geschrieben von: caschy

Jährlich in den Medien und den TechBlogs beliebt: Pwn2Own. Im Mittelpunkt des Hacker Contests stehen immer die “Überprüfungen” der Browser.  Ein paar Minuten nach dem Start am Mittwoch gab es auch schon den ersten Grund für lange Gesichter – zumindest auf Seiten von Google. Der strahlende Gewinner hingegen ist der schlaue Fuchs, der die Lücken ausgemacht und ausgenutzt hat, er darf sich über ein hohes Preisgeld (60.000 Dollar) freuen. Die Security-Leute von Vupen waren es erneut, die die Browser der Reihe nach aufknackten. Im letzten Jahr hielt Chrome die Stellung, dieses Jahr sorgten zwei Exploits von Vupen dafür, dass die Maschinen übernommen werden konnten.

Google Chrome wurde eine Lücke im Sandbox-System zum Verhängnis – zumindest verkündete man dies via Twitter. Die paar Minuten “Knackzeit” lesen sich natürlich klasse, allerdings habe das Team von Vupen bereits im Vorfeld 6 Wochen Arbeit investiert, heisst es.Kommentar: ich finde diese Events klasse, denn gefundene Lücken werden oftmals sogar von den Herstellern belohnt, was wiederum der Sicherheit des Anwenders zugute kommt. Übrigens: die eingesetzten Systeme waren Windows 7 und Mac OS X Lion, unter Linux wurden keine Versuche unternommen. (via)

 

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16515 Artikel geschrieben.


15 Kommentare

Arne 8. März 2012 um 11:06 Uhr

Schon erstaunlich, ich dachte immer zmnd. die IE Konkurrenten wären sicher (-: Wobei wer sich für “mich” 6 Wochen Zeit nimmt bleibt fraglich ;)

NeNeNe 8. März 2012 um 11:12 Uhr

6 Wochen und dafür dann 60.000 €… lohnt sich :-)

CherryCoke 8. März 2012 um 11:19 Uhr

Naja ist nicht wirklich verwunderlich.
Die Lücke erstmal zu finden scheint ja mit 6 Wochen schon einigermaßen lange gedauert zu haben.
Dass das ausnutzen dann nur wenige Minuten dauert ist ja eigentlich keine große Überraschung.
Und dass Chrome zuerst geknackt wurde wundert mich auch nicht, denn Google zahlt ja immerhin Prämien für das Finden von Sicherheitslücken und somit denke ich wird beim Chrome eben auch von mehr Leuten nach Lücken gesucht.

Markus 8. März 2012 um 11:27 Uhr

Was kann mir denn als Nutzer von Chrome passieren wenn ich den “Lückenhaften” Browser nutze während ich meine Internetseite überarbeite? Ich kenn mich da nicht so aus! Wo liegen die Gefahren für mich als unwissenden?

Gruß Markus

Sven 8. März 2012 um 11:29 Uhr

Es gibt überall Lücken, wichtig ist halt, dass sie gefunden werden, bevor irgendwer sie wirklich ausnutzen kann. Und deswegen finde ich das auch Klasse, dass Google hier Prämien für soetwas vergibt. Dadurch wird die Software sicherer und der Gewinner ist am ende der Kunde.

m3adow 8. März 2012 um 11:33 Uhr

Da sieht man wieder, wie sinnlos der “Sandbox”-Ansatz ist. Warum Geld in die Entwicklung einer Technologie stecken, die genauso anfällig ist, wie das eigentliche Programm. Diese Mittel könnte man auch direkt in die Sicherung des Programms stecken, das wäre meines Erachtens sehr viel effektiver.
Das ganze Sandbox-Prinzip sagt im Endeffekt doch nur sowas aus wie “Wir wissen, dass unser Programm nicht sicher genug ist, deswegen stecken wir es in eine virtuelle Maschine.” und das ist doch eher nicht der Sinn und Zweck.

TL;DR: Programme in eine Sandbox zu stecken ist keine Lösung.

SvenS 8. März 2012 um 12:56 Uhr

@m3adow:
Einspruch,

Sandboxes machen sehr wohl sinn, sie stellen eine zusätzliche Sicherheitsschicht dar. Ein exploiten des Programms alleine reicht mit Sandbox nicht aus, stat dessen muss zusätzlich ein Exploit für die Sandbox gefunden werden um ein Flaw wirklich aktiv ausnutzen zu können. Und Kommentare wie Mittel anstatt in die Sandbox in die Programmentwicklung zu stecken ist ab einem gewissen Grad an Aufwand für das Sicherheitskonzept auch keine wirkliche Lösung bzw. erhöht die Sicherheit kaum.

Standardangriffe kann man natürlich mit einem guten Konzept und dem Einhalten von bestimmten Richtlinien abwehren. Auch bis zu einem gewissen Grad lässt sich ein Programm härten. Ab einem gewissen Grad und Kenntnissatnd des Angreifers ist das aber hinfällig. Neuere Angriffe sind meistens das Ergebniss eines kreativen Prozess, diese dürften mit ein wenig mehr Mitteln bei der Entwicklung kaum in den Griff zu kriegen sein.

“Programme in eine Sandbox zu stecken ist keine Lösung”, aber kritische Programm NICHT in eine Sandbox zu stecken ist noch gefährlicher.

Tim 8. März 2012 um 13:22 Uhr

@m3adow

noch ergänzend zu SvenS Post dem ich zustimme:

Wenn der Flash-Player von Adobe eine Sicherheitslücke hat dann kann Google selbst eben nicht den Flash-Player bugfixen. Ist schließlich nicht ihr Produkt und wenn Adobe es nicht interessiert, dass sie da irgendwelche Lücken haben dann kann Google eben nur bestmöglich eine Sandbox außen herum bauen und damit versuchen ihren Browser mit darin laufendem Flash-Player sicher zu bekommen.

Paul 8. März 2012 um 13:44 Uhr

Gut das dieser Verein die Lücke gefunden haben. Nun kann Google schnell und Effektiv reagieren.

Leif 8. März 2012 um 14:39 Uhr

Menschen sind eben fehlbar und so wird es auch nie eine 100%ige Sicherheit geben. Umso wichtiger sind derartige Contests und entsprechende Preisgelder wie sie von Google & Co ausgezahlt werden.

Michael 8. März 2012 um 16:04 Uhr

Wenn ich Ahnung von der Materie hätte, würde ich auch mal suchen – ist schon ne Stange Geld, die Google – auch außerhalb des Wettbewerbes – für die Fehler zahlt.

m3adow 8. März 2012 um 16:06 Uhr

@SvenS und Tim:

Warum sollte Google für Adobes Schwachstellen einstehen? Wenn Flash Schwachstellen hat, soll sich Adobe drum kümmern. Ist doch nicht das Problem von Google. Lieber dafür sorgen, dass Flash schnell vom Erdboden verschwindet. Dafür könnte man ja etwa schonmal das Sandboxbudget investieren.

Mein Problem mit dem Sandboxing ist die Performance in Hinsicht auf Nutzen. SvenS hat Recht, es ist eine zusätzliche Sicherheitsschicht. Aber hey! Wenn man Chrome in eine Sandbox in einer Sandbox, die in einer Sandbox steckt, packt, ist es NOCH sicherer (wenn es verschiedenartige Sandboxes sind), nur die Performance ist eben noch mieser. Nicht alles, was einen Sicherheitsgewinn bringt, ist sinnvoll.
Und wie wir hier und bei den etlichen anderen Sandboxingprogrammen sehen, ist Sandboxing nicht sicherer, es ist mehr ein Imageding. Auf den ersten Blick gut, auf den zweiten Blick Blödsinn.

Malware bricht heute schon aus chroots und richtigen virtuellen Maschinen aus, da ist eine Sandbox nur ein weiterer verzweifelter Versuch schlechte Software sicherer zu machen.

““Programme in eine Sandbox zu stecken ist keine Lösung”, aber kritische Programm NICHT in eine Sandbox zu stecken ist noch gefährlicher.”
Dafür wurden die verschiedenen Userberechtigungen erfunden. Dass Windows eben auch ein grottiges Stück Software mit diversen Lücken ist, wodurch sich diese aushebeln lassen, lässt mich zu dem Schluss kommen, dass Windows 8 in einer Sandbox laufen sollte. ;-)

SvenS 8. März 2012 um 17:18 Uhr

@m3adow,
(auch wenn ich Flash in meinem Post nicht erwähnt habe), Flash hebelt, wie manche andere Plugins auch, die Sicherheitsarchitektur aus. Flash begnügt sich nicht mit der Sandbox und einer Instanz pro Tab, sondern will alle Rechte und global laufen, eine Lücke in Flash kompromittiert also den ganzen Browser. Als Bsp, Flash wird in einem Tab ausgenutzt und dazu verwendet, den Online-Banking Vorgang in einem anderen Tab auszuspähen. Dies ist normalerweise nicht so einfach mit EINER Lücke im Browser auszunutzen.

So hebeln manche Plugins ganze Sicherheitskonzepte in Browsern aus.

Du hast natürlich Recht, wenn Du sagst, dass aus virtuellen Maschinen (und Sandboxes/chroots) ausgebrochen werden kann und wurde. Aber dasselbe gilt für (diese Bsp sind exemplarisch) Speicherverwürfelung (ASLR) und Datenausführungsverhinderung (DEP).

Und das man durch konkatinieren von Sandboxes die Sicherheit DEUTLICH erhöhen würde, bezweifle ich stark, denn u.A. ist der Sinn einer Sandbox das Trennen der einzelnen Prozesse, sowie die Rechte, die ein Prozess hat, fein granuliert zuzuweisen, z.B. Schreibrechte. Hier spielt das “Principle of least privilege” eine Rolle, also man gibt einem Prozess nur die minmial für das erledigen seiner Aufgabe benötigten Rechte. Ein klassischer und bewährter Ansatz, der hier auf die einzelnen Tabs beim Browsen ausgedehnt wird. DAS ist ein Sicherheitsgewinn! Durch hintereinanderschalten von Sandboxes dürfte der Sicherheitsgewinn aber geringer ausfallen als die erste Sandbox.

Wie gesagt, Sandboxes sind kein Allheilmittel, sie haben aber ihre Vorteile und das auch nicht nur bei Security, Stichpunkt Stabilität, bei Google Chrome verabschiedet sich eher nur ein einzelner Tab, weil ein Fehler eben in der Sandbox auftritt und da auch abgefangen wird als gleich den ganzen Browser mitzureißen (was bei mir aber auch schon vorkam).

Ich kann verstehen, das man Sandboxes auf dem zweiten Blick eher abgeneigt gegenübersteht, aber ich hoffe , das Du beim dritten Blick den Nutzen (und auch die Grenzen) von Sandboxes siehst.

Btw. die Schlussfolgerung, das irgendein Sicherheitskonzept schonmal durchbrochen wurde und daher die Methode als sloche unbrauchbar ist, ist schlichtweg falsch. JEDE mir bekannte Methode zum HÄRTEN (deswegen heisst es ja so), wurde auch schonmal umgangen. Normalerweise werden solche Methoden kombiniert um es einem Angreifer seine Arbeit zu erschweren, aber zumindest Standardisierte Massenangriffe abzuwehren. Eine gezielter Angriff ist eh ein ganz anderes Kaliber.

Viele Grüße
Sven

m3adow 8. März 2012 um 17:26 Uhr

@Svens
Schöne geschrieben, kann ich nachvollziehen und größtenteils sogar zustimmen. Hast mich überzeugt.

taco3000 8. März 2012 um 18:45 Uhr

ach verdammt… warum wurde Opera mal wieder völlig aussen vor gelassen… dabei wärs doch interessant wie sich so ein “marktanteilaussenseiter” schlägt…


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.