1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    7.209
    Thanked 9.276 Times in 3.125 Posts
    Blog Entries
    5

    Standard

    Am Montag wurde die Chrome-Version 98.0.4758.102 veröffentlicht. Sie behebt insgesamt 11 Sicherheitslücken, viele davon als kritisch eingestuft. In einem kurzen Beitrag fasse ich zusammen, was ihr als Nutzer akut wissen solltet. Chrome besitzt in Deutschland einen Marktanteil von fast 50%, sodass potenziell eine hohe Anzahl an Anwendern betroffen ist.


  2. The Following User Says Thank You to DMW007 For This Useful Post:

    Darkfield (16.02.2022)

  3. #2
    Avatar von sam3nx
    Registriert seit
    21.01.2022
    Beiträge
    11
    Thanked 2 Times in 2 Posts

    Standard AW: 11 Sicherheitslücken in Google Chrome: Mehrere schwere Lücken gefährden den Internetbrowser

    Was mich interessieren würde, ich aber nichts detailiertes zu finden kann wäre, wie man genau Websites nach Sicherheitslücken durchsucht oder gar ausnutzt.

    Ich hab mal gelesen dass eine Sicherheitslücke zu melden gut bezahlt sein soll bei Google ?! Würde mich eigentlich schon gern damit auseinandersetzen =D
    P.S -Shane

  4. #3
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    7.209
    Thanked 9.276 Times in 3.125 Posts
    Blog Entries
    5

    Standard

    Einige v.a. größere Unternehmen haben ein "Kopfgeld-Programm" (Bug-Bounty). Darin werden Sicherheitslücken zwar i.d.R. deutlich schlechter bezahlt als auf dem Schwarzmarkt. Aber dafür ist das ganze offiziell, legal und richtig umgesetzt verhält man sich damit ethisch. Je nach Software und Schweregrad reicht die Prämie von ein paar hundert Euro bzw. US-Dollar bis hin zu mehrere zehntausend. Zu den Chrome-Sicherheitslücken über die ich berichtet habe ist von 4 bekannt, dass dafür insgesamt 36.000 US-Dollar ausgezahlt wurden.

    Sicherheitslücken sind sehr vielfältig. Die zu finden setzt technisches Wissen zusammen mit gutem logischen Denken, Kreativität und oft auch "Um die Ecke Denken" voraus. Eine Schema-F Anleitung gibt es daher nicht. Teilweise hast du auch Kombinationen aus mehreren Fehlern, die alleine relativ harmlos sind, aber in Kombination gefährlich sein können. Das technische Wissen kann man sich aneignen, in dem man z.B. Best Practices zur Absicherung anschaut. Daraus kann man in der Regel schließen, wie sich Angriffsvektoren ergeben. Beispiel: Für Nutzerdaten in SQL-Abfragen nutzt man i.d.R. Prepared Statements oder maskiert diese zumindest. Warum? Weil man sonst über die Nutzerdaten die Abfrage manipulieren kann, was in so ziemlich allen Fällen eine gravierende Sicherheitslücke darstellt. Die OWASP Top Ten Liste der kritischsten Sicherheitslücken ist ein guter, aktueller Anhaltspunkt für die Art der Angriffe.

    Je nach Qualität der Software findet man auch mit Fuzzing schon was. Das sind Programme, die zum einen 0815 Angriffe durchprobieren. Beispiel. Du hast irgendwo einen Id-Parameter (seite.php?id=123). Dann probiert der da z.B. Anführungsstriche mit/ohne Maskierung und schaut ob sich die Anwendung verändert. Zum anderen wird getestet, ob die eingesetzten Komponenten für bekannte CVEs verwundbar sind. Damit wirst du bei Studenten, kleineren Unternehmen oder schlechten Entwicklern durchaus was finden. Aber Google wohl nicht, die betreiben selbst Fuzzing und haben offensichtlich genug Schichten zwischen Internet und Daten, sodass es schwierig ist, dort schwerwiegende Lücken zu finden.

    Dort wirst du also eher von Hand ran müssen. In mindestens einer oder besser mehreren Sprachen Programmieren zu können ist eine sehr hilfreiche Grundlage. Der erste praktische Ansatz wäre, die bekanntesten Angriffsvektoren zu verstehen und am besten selbst nachzuvollziehen. Beispielsweise ein verwundbares PHP-Skript auf ein Testsystem aufsetzen oder gleich selbst schreiben, dann versuchen damit seine Testumgebung anzugreifen. Ist übrigens in der Umgebung eben so legal wie sein eigenes Auto zu knacken. Als Steigerung kann man sich bekannte Sicherheitslücken ansehen, eine verwundbare Testinstallation lokal aufsetzen und versuchen die auszunutzen.

    Vom Umfang her sollte klar sein, dass das nichts ist, was man mal eben in 2 Wochen nebenbei lernt und in der dritten Woche 15.000 US-Dollar von Google kassiert. Das beschrieben sind die Grundlagen, dann geht die eigentliche Arbeit erst los. Mit der Zeit ergeben sich dann hilfreiche Erfahrungswerte. Beispielsweise, dass Komplexität der Feind jeder sicheren Software ist ("KISS" Prinzip). Je komplexer etwas ist, um so mehr potenzielle Fehler und damit Sicherheitslücken befinden sich darin. Das gilt nicht nur für selbst geschriebene Software. Gerade Plattformen wie NPM laden dazu ein, sich zig Abhängigkeiten ins Projekt zu holen. So ist eine vergleichsweise einfache Software schnell über mehrere Ecken verwundbar. Und das oft komplett ohne Bewusstsein, da sich die wenigsten den Code bzw. dessen Qualität anschauen, wenn sie sich fremde Pakete ins Projekt holen.

    Ein wichtiger Hinweis noch, damit das nicht nach hinten losgeht, ist die Rechtslage zu beachten. Deutschland hat den recht strengen "Hackerparagraphen". Auch 2022 gibt es noch Menschen, die davon maximalen Gebrauch machen. Die CDU hatte z.B. jüngst schwere Sicherheitslücken in einer Wahlkampf-App. Sicherheitsforscher haben das unter Beachtung ethischer Richtlinien gemeldet und als Dank eine Anzeige bekommen. Erwarte also nicht, dass jeder dich mit Lob und Geld für so eine Entdeckung überschüttet. Bei manchen bist du als Bote der Sündenbock und hast wenn es dumm läuft einen Rechtsstreit am Hals, der Geld und Nerven kostet, statt welches einzubringen. Daher so viel wie möglich lokal experimentieren und wenn man sich wirklich mal ein echtes Unternehmen anschaut, vorher abklären, ob die das gut finden oder Hinweisgeber mit Anwaltsschreiben belohnen. Im Zweifel vorher am besten eine schriftliche Erlaubnis holen, damit ist man auf der sicheren Seite. Aber niemals uninformiert einfach mal drauf los rum probieren.

    Bedenke auch, dass nicht jeder seine Logs auf der Platte herumgammeln lässt, bis sie wegen Speichermangel gelöscht werden. Manche überwachen ihre Zugriffe und suchen systematisch nach Angriffsversuchen wie z.B. bestimmte Zeichenketten, die auf versuchte SQL-Injections hindeuten. Daher immer nur eigene Systeme angreifen und bei allem was nicht dir gehört vorher prüfen, ob das legitim/erwünscht ist und im Zweifel lieber lassen. Muss natürlich nicht schief gehen, aber "Hau-Ruck" Aktionen können wenn es dumm läuft einen Haufen Ärger geben, das würde ich vermeiden.

  5. The Following 2 Users Say Thank You to DMW007 For This Useful Post:

    King Jonge Dner (22.02.2022), sam3nx (20.02.2022)

  6. #4
    Avatar von King Jonge Dner
    Registriert seit
    17.06.2015
    Beiträge
    28
    Thanked 15 Times in 4 Posts

    Standard

    Wenn man sich den Schweregrad der Lücken anschaut (Remote Code Execution!) sind 10k schon wenig. Auf dem Schwarzmarkt auf dem sich auch zahlreiche Staaten befinden könnte man bei einer so verbreiteten Software locker ein paar hunderttausend verdienen. Wer das an Google meldet dem muss es echt darum gehen die Sicherheit zu erhöhen, sonst lohnt sich das nicht.

    Wobei ich nicht den Eindruck habe, als ob das damit wirklich funktioniert. Es wäre Googles Aufgabe solche Lücken selbst in ihrer Software zu suchen, so viele wie da regelmäßig entdeckt werden scheint das ein Versäumnis zu sein...

  7. #5
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    3.233
    Thanked 57 Times in 55 Posts

    Standard

    Dank Google - Konto wird der Benutzer zu 100 % bespitzelt. Von so einer Technik konnte die Stasi nicht mal träumen.

    Kommentar von Paul Meyer.

  8. #6
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    7.209
    Thanked 9.276 Times in 3.125 Posts
    Blog Entries
    5

    Standard

    Das hat auch seine Nachteile. Zum Glück gibt es bislang mit Firefox noch eine komplett unabhängige Alternative. Mit ein wenig Aufwand kann man das ganze eindämmen, ich meide Google nach Möglichkeit und nutze nur einzelne ausgewählte Dienste wie z.B. YouTube. Damit werden zumindest deutlich weniger Daten an einer Stelle gesammelt, an der wirtschaftliches Interesse besteht, die zu Geld zu machen.

  9. #7
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    3.233
    Thanked 57 Times in 55 Posts

    Standard AW: 11 Sicherheitslücken in Google Chrome: Mehrere schwere Lücken gefährden den Internetbrowser

    Letzte Woche wurde Chromium-browser unter Rasberry Pi OS endlich auf 98 aktualisiert. Woran liegt das? Baut nur EINE Person das Paket Chromium für Rasberry?

    Kommentar von Polos Ravros.

  10. #8
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    7.209
    Thanked 9.276 Times in 3.125 Posts
    Blog Entries
    5

    Standard

    Wird vermutlich an der Hardwarebeschleunigung liegen. Die wurde für das alte RPIOS Legacy aus Chromium entfernt, weil das laut eigenen Aussagen einen erheblichen Zeitaufwand verursacht und für jede Version neu implementiert werden muss. Um Sicherheitsupdates schneller bereitzustellen (und wohl auch aus Ressourcengründen) hat man sich daher dazu entschieden, die aus Legacy zu streichen. Beim aktuellsten RPIOS (also derzeit Bullseye) ist die Hardwarebeschleunigung weiterhin vorhanden.

Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.