|
||||||
|
||||||
|
|
Google schliesst massive Sicherheitslücke bei ChromeMountain View - Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 für den Browser Chrome veröffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group hat bereits am 8. April auf gravierende Sicherheitslücken hingewiesen.tri / Quelle: pte / Freitag, 24. April 2009 / 16:56 h
Die Mängel des Browsers haben domainübergreifende Scripting-Attacken ermöglicht. «Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgenützt, wenn der Aufruf mit dem Internet Explorer erfolgte», sagte Mark Larson, Google Chrome Program Manager.
Die Verarbeitung von JavaScript im Internet Explorer haben dazu geführt, dass Chrome mit zwei Tabs geöffnet und der eingebettete Schadcode in einem der beiden Tabs ausgeführt wird. Dies ermöglichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains.
Angreifer benötigen immer berechtigten Nutzer
«Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-übergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu verändern», sagt Candid Wüest, Virenforscher von Symantec.
«Angreifer benötigen jedoch immer einen berechtigten Benutzer von Webanwendungen. «Google Chrome warnt Sie, wenn Sie eine verdächtige Phishing-, Malware- oder anderweitig gefährliche Website besuchen möchten», so heisst es auf der Webseite des Unternehmens. /
Mit dem Einsatz von Skripten oder auf dem Wege von Social Engineering wird aus dem Webbrowser des Opfers ohne dessen Wissen eine HTTP-Anfrage an die Webanwendung gerichtet», erklärt Wüest. Oft ist es der Schadcode Browser der neuesten Generation würden zwar mehr Security-Features aufweisen, Cross-Side-Scripting könne jedoch nur über eine vollständige Trennung von Websessions in den Griff bekommen werden, meint Wüest. Wenn User neben der Abwicklung ihrer Internetbanking-Geschäfte noch zahlreiche andere Websites besuchen, könne ein CSRF-basierter Angriff nicht ausgeschlossen werden. Datenklau ist in vielen Fällen auf die Ausführung eines in Webseiten oder Dateien eingebetteten Schadcodes zurückzuführen, wobei es sich zumeist um JavaScript-Programme handelt. «Eine Deaktivierung von JavaScript im Browser schützt nur bedingt. Gefahren wie Drive-by-Downloads können auf diese Weise jedoch wirksam eingedämmt werden», so Wüest weiter. Neue Gefahren Die Infizierung seriöser Webseiten mit schadbringendem Code ist ein weiteres Problem. Potentieller Schaden kann nicht mehr nur durch den Aufruf von dubiosen Sites angerichtet werden. Eine verstärkte Nutzung von Webdiensten ist allgemein feststellbar. Online-Backups und Textverarbeitung über Webdienste liegen voll im Trend, bergen aber auch neue Gefahren für User in sich, heisst es bei Symantec.
«Ausländer-Kredit» für Investitionen in der Heimat? Immer öfter - gerade auch vor den Ferien - wird das Beratungsteam von kredit.ch angefragt, ob auch in der Schweiz lebende Ausländer die Möglichkeit haben, einen günstigen, fairen Kredit zu erhalten. Fortsetzung
Endlich: SMS versenden mit Outlook 2007/2010 St. Gallen - Das mühsame Getippe ist vorbei. Als erster Schweizer Anbieter stellt ASPSMS.COM eine Anbindung an den Mobile Service von Microsofts Outlook 2007/2010 zur Verfügung. Ohne zusätzliche Software können SMS bequem via Outlook 2007/2010 versendet werden – und das auch noch günstiger als mit dem Handy. Fortsetzung
Radiolino - Grosses Radio für kleine Ohren Radiolino ist das erste deutschsprachige Web-Radio der Schweiz für Kinder zwischen 3 und 12 Jahren. Das Programm richtet sich aber auch an Eltern, Grosseltern, Onkeln und Tanten, sprich an die ganze Familie.
Fortsetzung
|
|
|