Google Chrome & Mozilla Firefox: Exploit in den Browsern ließ Social-Media-Daten durchsickern

Eine Lücke in den beiden Browsern Google Chrome und Mozilla Firefox konnte in den vergangenen Monaten dazu führen, dass Angreifer Nutzerdaten abgreifen konnten. Ob das tatsächlich passiert ist, bleibt allerdings offen. Potentiell konnten durch einen Hack Facebook-Benutzernamen, Profilbilder und auch verteilte Likes durchsickern. Damit die Daten hätten abgegriffen werden können, wäre seitens der User aber der Aufruf einer bösartigen Website notwendig gewesen. Laut Sicherheitsforschern bestand die Lücke für mehr als ein Jahr.

Zurückzuführen war der Exploit auf die Einbindung von CSS-Standards aus dem Jahr 2016. Wie die Daten hätten durchsickern können, ist einigermaßen kompliziert. Es hat mit iFrames zu tun, die auf Facebook verlinken könnten und speziellem Code, der dann die Nutzerdaten abfangen könnte. Aktuell ist die Lücke übrigens nicht mehr. Sie wurde in Google Chrome ab der Version 63 geschlossen. Mozilla Firefox hat den Exploit ebenfalls später ab der Version 60 ausgehebelt.

Der Sicherheitsforscher Dario Weißer warnt allerdings: „CSS, HTML und Javascript haben viele unterschiedliche Features, die sich mit Grafik beschäftigen. Ich wäre nicht überrascht, wenn es weitere, bisher unbekannte Lücken gäbe.“ Microsofts Edge bzw. Internet Explorer waren übrigens von dem Problem nicht betroffen, da es auf den Mix-Blend-Mode zurückzuführen ist. Jener wird aber in den Browsern von Microsoft nicht verwendet. Auch Apples Safari blieb verschont.

Auch wenn die Sicherheitslücke mittlerweile geschlossen ist: Das Problem zeigt, dass auch Daten aus sozialen Netzwerken nicht so sicher sind, wie man manchmal denkt. Zumal die Forscher, wie angedeutet, von ähnlichen Fehlern ausgehen, die noch hinter den Kulissen bestehen könnten.

via Ars Technica