Google Chrome: Last Man Standing? Nö!

Jährlich in den Medien und den TechBlogs beliebt: Pwn2Own. Im Mittelpunkt des Hacker Contests stehen immer die „Überprüfungen“ der Browser.  Ein paar Minuten nach dem Start am Mittwoch gab es auch schon den ersten Grund für lange Gesichter – zumindest auf Seiten von Google. Der strahlende Gewinner hingegen ist der schlaue Fuchs, der die Lücken ausgemacht und ausgenutzt hat, er darf sich über ein hohes Preisgeld (60.000 Dollar) freuen. Die Security-Leute von Vupen waren es erneut, die die Browser der Reihe nach aufknackten. Im letzten Jahr hielt Chrome die Stellung, dieses Jahr sorgten zwei Exploits von Vupen dafür, dass die Maschinen übernommen werden konnten.

Google Chrome wurde eine Lücke im Sandbox-System zum Verhängnis – zumindest verkündete man dies via Twitter. Die paar Minuten „Knackzeit“ lesen sich natürlich klasse, allerdings habe das Team von Vupen bereits im Vorfeld 6 Wochen Arbeit investiert, heisst es.Kommentar: ich finde diese Events klasse, denn gefundene Lücken werden oftmals sogar von den Herstellern belohnt, was wiederum der Sicherheit des Anwenders zugute kommt. Übrigens: die eingesetzten Systeme waren Windows 7 und Mac OS X Lion, unter Linux wurden keine Versuche unternommen. (via)

 

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

15 Kommentare

  1. Schon erstaunlich, ich dachte immer zmnd. die IE Konkurrenten wären sicher (-: Wobei wer sich für „mich“ 6 Wochen Zeit nimmt bleibt fraglich 😉

  2. 6 Wochen und dafür dann 60.000 €… lohnt sich 🙂

  3. CherryCoke says:

    Naja ist nicht wirklich verwunderlich.
    Die Lücke erstmal zu finden scheint ja mit 6 Wochen schon einigermaßen lange gedauert zu haben.
    Dass das ausnutzen dann nur wenige Minuten dauert ist ja eigentlich keine große Überraschung.
    Und dass Chrome zuerst geknackt wurde wundert mich auch nicht, denn Google zahlt ja immerhin Prämien für das Finden von Sicherheitslücken und somit denke ich wird beim Chrome eben auch von mehr Leuten nach Lücken gesucht.

  4. Was kann mir denn als Nutzer von Chrome passieren wenn ich den „Lückenhaften“ Browser nutze während ich meine Internetseite überarbeite? Ich kenn mich da nicht so aus! Wo liegen die Gefahren für mich als unwissenden?

    Gruß Markus

  5. Es gibt überall Lücken, wichtig ist halt, dass sie gefunden werden, bevor irgendwer sie wirklich ausnutzen kann. Und deswegen finde ich das auch Klasse, dass Google hier Prämien für soetwas vergibt. Dadurch wird die Software sicherer und der Gewinner ist am ende der Kunde.

  6. Da sieht man wieder, wie sinnlos der „Sandbox“-Ansatz ist. Warum Geld in die Entwicklung einer Technologie stecken, die genauso anfällig ist, wie das eigentliche Programm. Diese Mittel könnte man auch direkt in die Sicherung des Programms stecken, das wäre meines Erachtens sehr viel effektiver.
    Das ganze Sandbox-Prinzip sagt im Endeffekt doch nur sowas aus wie „Wir wissen, dass unser Programm nicht sicher genug ist, deswegen stecken wir es in eine virtuelle Maschine.“ und das ist doch eher nicht der Sinn und Zweck.

    TL;DR: Programme in eine Sandbox zu stecken ist keine Lösung.

  7. @m3adow:
    Einspruch,

    Sandboxes machen sehr wohl sinn, sie stellen eine zusätzliche Sicherheitsschicht dar. Ein exploiten des Programms alleine reicht mit Sandbox nicht aus, stat dessen muss zusätzlich ein Exploit für die Sandbox gefunden werden um ein Flaw wirklich aktiv ausnutzen zu können. Und Kommentare wie Mittel anstatt in die Sandbox in die Programmentwicklung zu stecken ist ab einem gewissen Grad an Aufwand für das Sicherheitskonzept auch keine wirkliche Lösung bzw. erhöht die Sicherheit kaum.

    Standardangriffe kann man natürlich mit einem guten Konzept und dem Einhalten von bestimmten Richtlinien abwehren. Auch bis zu einem gewissen Grad lässt sich ein Programm härten. Ab einem gewissen Grad und Kenntnissatnd des Angreifers ist das aber hinfällig. Neuere Angriffe sind meistens das Ergebniss eines kreativen Prozess, diese dürften mit ein wenig mehr Mitteln bei der Entwicklung kaum in den Griff zu kriegen sein.

    „Programme in eine Sandbox zu stecken ist keine Lösung“, aber kritische Programm NICHT in eine Sandbox zu stecken ist noch gefährlicher.

  8. @m3adow

    noch ergänzend zu SvenS Post dem ich zustimme:

    Wenn der Flash-Player von Adobe eine Sicherheitslücke hat dann kann Google selbst eben nicht den Flash-Player bugfixen. Ist schließlich nicht ihr Produkt und wenn Adobe es nicht interessiert, dass sie da irgendwelche Lücken haben dann kann Google eben nur bestmöglich eine Sandbox außen herum bauen und damit versuchen ihren Browser mit darin laufendem Flash-Player sicher zu bekommen.

  9. Gut das dieser Verein die Lücke gefunden haben. Nun kann Google schnell und Effektiv reagieren.

  10. Menschen sind eben fehlbar und so wird es auch nie eine 100%ige Sicherheit geben. Umso wichtiger sind derartige Contests und entsprechende Preisgelder wie sie von Google & Co ausgezahlt werden.

  11. Wenn ich Ahnung von der Materie hätte, würde ich auch mal suchen – ist schon ne Stange Geld, die Google – auch außerhalb des Wettbewerbes – für die Fehler zahlt.

  12. @SvenS und Tim:

    Warum sollte Google für Adobes Schwachstellen einstehen? Wenn Flash Schwachstellen hat, soll sich Adobe drum kümmern. Ist doch nicht das Problem von Google. Lieber dafür sorgen, dass Flash schnell vom Erdboden verschwindet. Dafür könnte man ja etwa schonmal das Sandboxbudget investieren.

    Mein Problem mit dem Sandboxing ist die Performance in Hinsicht auf Nutzen. SvenS hat Recht, es ist eine zusätzliche Sicherheitsschicht. Aber hey! Wenn man Chrome in eine Sandbox in einer Sandbox, die in einer Sandbox steckt, packt, ist es NOCH sicherer (wenn es verschiedenartige Sandboxes sind), nur die Performance ist eben noch mieser. Nicht alles, was einen Sicherheitsgewinn bringt, ist sinnvoll.
    Und wie wir hier und bei den etlichen anderen Sandboxingprogrammen sehen, ist Sandboxing nicht sicherer, es ist mehr ein Imageding. Auf den ersten Blick gut, auf den zweiten Blick Blödsinn.

    Malware bricht heute schon aus chroots und richtigen virtuellen Maschinen aus, da ist eine Sandbox nur ein weiterer verzweifelter Versuch schlechte Software sicherer zu machen.

    „“Programme in eine Sandbox zu stecken ist keine Lösung”, aber kritische Programm NICHT in eine Sandbox zu stecken ist noch gefährlicher.“
    Dafür wurden die verschiedenen Userberechtigungen erfunden. Dass Windows eben auch ein grottiges Stück Software mit diversen Lücken ist, wodurch sich diese aushebeln lassen, lässt mich zu dem Schluss kommen, dass Windows 8 in einer Sandbox laufen sollte. 😉

  13. @m3adow,
    (auch wenn ich Flash in meinem Post nicht erwähnt habe), Flash hebelt, wie manche andere Plugins auch, die Sicherheitsarchitektur aus. Flash begnügt sich nicht mit der Sandbox und einer Instanz pro Tab, sondern will alle Rechte und global laufen, eine Lücke in Flash kompromittiert also den ganzen Browser. Als Bsp, Flash wird in einem Tab ausgenutzt und dazu verwendet, den Online-Banking Vorgang in einem anderen Tab auszuspähen. Dies ist normalerweise nicht so einfach mit EINER Lücke im Browser auszunutzen.

    So hebeln manche Plugins ganze Sicherheitskonzepte in Browsern aus.

    Du hast natürlich Recht, wenn Du sagst, dass aus virtuellen Maschinen (und Sandboxes/chroots) ausgebrochen werden kann und wurde. Aber dasselbe gilt für (diese Bsp sind exemplarisch) Speicherverwürfelung (ASLR) und Datenausführungsverhinderung (DEP).

    Und das man durch konkatinieren von Sandboxes die Sicherheit DEUTLICH erhöhen würde, bezweifle ich stark, denn u.A. ist der Sinn einer Sandbox das Trennen der einzelnen Prozesse, sowie die Rechte, die ein Prozess hat, fein granuliert zuzuweisen, z.B. Schreibrechte. Hier spielt das „Principle of least privilege“ eine Rolle, also man gibt einem Prozess nur die minmial für das erledigen seiner Aufgabe benötigten Rechte. Ein klassischer und bewährter Ansatz, der hier auf die einzelnen Tabs beim Browsen ausgedehnt wird. DAS ist ein Sicherheitsgewinn! Durch hintereinanderschalten von Sandboxes dürfte der Sicherheitsgewinn aber geringer ausfallen als die erste Sandbox.

    Wie gesagt, Sandboxes sind kein Allheilmittel, sie haben aber ihre Vorteile und das auch nicht nur bei Security, Stichpunkt Stabilität, bei Google Chrome verabschiedet sich eher nur ein einzelner Tab, weil ein Fehler eben in der Sandbox auftritt und da auch abgefangen wird als gleich den ganzen Browser mitzureißen (was bei mir aber auch schon vorkam).

    Ich kann verstehen, das man Sandboxes auf dem zweiten Blick eher abgeneigt gegenübersteht, aber ich hoffe , das Du beim dritten Blick den Nutzen (und auch die Grenzen) von Sandboxes siehst.

    Btw. die Schlussfolgerung, das irgendein Sicherheitskonzept schonmal durchbrochen wurde und daher die Methode als sloche unbrauchbar ist, ist schlichtweg falsch. JEDE mir bekannte Methode zum HÄRTEN (deswegen heisst es ja so), wurde auch schonmal umgangen. Normalerweise werden solche Methoden kombiniert um es einem Angreifer seine Arbeit zu erschweren, aber zumindest Standardisierte Massenangriffe abzuwehren. Eine gezielter Angriff ist eh ein ganz anderes Kaliber.

    Viele Grüße
    Sven

  14. @Svens
    Schöne geschrieben, kann ich nachvollziehen und größtenteils sogar zustimmen. Hast mich überzeugt.

  15. ach verdammt… warum wurde Opera mal wieder völlig aussen vor gelassen… dabei wärs doch interessant wie sich so ein „marktanteilaussenseiter“ schlägt…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.