Schwere Sicherheitslücke in Chrome entdeckt und verkauft – Aber an wen? (Update: Nicht an Google)

Die Sicherheitsfirma Vupen Security berichtet, eine Sicherheitslücke im Browser Google Chrome gefunden zu haben und stellt auch ein „Beweisvideo“ dazu auf YouTube vor. Man sieht, wie der Aufruf einer Seite den Windows- einen Taschenrechner herunterladen und starten, also beliebigen Code ausführen kann.

Schlimmer kann eine Lücke kaum sein. Allerdings wird nicht berichtet, mit welchen Nutzerrechten (Admin / eingeschränkten) der Zugriff möglich ist. Chrome galt wegen mehrerer Sicherheitsmechanismen in letzter Zeit als am schwersten zu knackender Browser – wodurch Vupen sich jetzt einige Hacker-Sternchen verdient hat.

Mich persönlich interessiert dieser Hinweis am Ende der Bekanntgabe:

This code and the technical details of the underlying vulnerabilities will not be publicly disclosed. They are shared exclusively with our Government customers as part of our vulnerability research services

Das Proof-of-Concept nicht zu veröffentlichen ist bei einem so weit verbreiteten Programm ja keine schlechte Idee, allerdings wäre ich froh, wenn die Finder sich bemühen würden, die Lücke zu schließen. Ob die „Kunden aus der Regierung“ das machen werden, sei dahingestellt.

Bevor wir uns aber in Verschwörungstheorien ergehen: Wenn man einen solchen Scoop landet, dann will man natürlich nicht nur still und heimlich am Fix arbeiten, und sich allein im stillen Kämmerlein freuen: Ein bisschen Angeben muss schon drin sein. Vermutlich also weiß Google schon seit einiger Zeit bescheid, und die untereinander vereinbarte Frist zum Stillschweigen ist jetzt abgelaufen, die Lücke längst geschlossen (so ein Google-Auto-Updater hat nicht nur Nachteile) und auch kein Bundestrojaner durch Chrome installiert worden.

Update: Das, worauf man sich bei Vupen spezialisiert hat, könnte man wohl am ehesten als irresponsible disclosure bezeichnen: Annika meldet bei Gulli:

Auf eine Anfrage per E-Mail teilte der CEO und Leiter der Forschungsabteilung von Vupen, Chaouki Bekrar, mit, Vupen teile seine Erkenntnisse „nur mit seinen eigenen Kunden, um ihnen zu helfen, Risiken zu bewerten und sich vor Zero-Day-Angriffen zu schützen“. Man habe die technischen Details des Angriffs nicht an Google geschickt und Google hätte diese auch nicht nachgefragt.

(Danke für den Hinweis)

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Die Finder sollen nicht die Lücke schließen sondern sie dem Google Security Team melden, die ein festes Procedere im Umgang mit kritischen Sicherheitslücken haben.
    Ich denke es ist Gang und Gäbe, dass „Sicherheits“-Firmen sich eine goldene Nase verdienen mit dem Aufdecken von Sicherheitslücken und deren Weitergabe an Staaten und Konzerne – nur in der Regel tun sie das im Verborgenen. Ein Beispiel ist der berühmte Stuxnet-Wurm, mit dem iranische Urananreicherungsanlagen angegriffen wurden. Er beinhaltete mehrere Exploits, die mit Sicherheit auf so einem Weg eingekauft wurden.

    Und ich denke NICHT, dass Vulpen Google vor den „Government customers“ informiert hat. Ich hoffe, dass sie es jetzt inzwischen getan haben.

  2. Nachtrag: Der Otto-Normal-Nutzer muss sich übrigens nicht fürchten. Regierung X gibt nicht hunderttausende Dollar aus um MEINE Mails zu lesen. Die Benutzung des Exploits bedeutet, dass er irgendwann entdeckt und gefixt wird. Die werden sich genau überlegen, gegen wen die Lücke eingesetzt wird. Ziele sind deshalb vermutlich (je nachdem wer den Exploit gekauft hat) Konzerne, Regierungen/Geheimdienste oder verfolgte politische Aktivisten.

  3. So ein Video kann ich auch drehen, eine Tastatur mit extra Knopf für den Taschenrechner reicht.

      1. Wo genau meinst du denn das erkannt zu haben? In dem Video was ich gesehen hab, sieht das auf jeden Fall anders aus.

      2. [ ] Du hast den Beitrag gelesen und verstanden

        Der Witz ist doch, das calc.exe kein Childprozess innerhalb der Sandbox ist, sondern außerhalb als eigenständiges Programm läuft. Damit läuft es mit Sicherheit mit normalen Benutzerrechten, aber dafür gibts dann bestimmt auch Tools.

        Aber mach dir nichts draus, ich Spezialexperte war gerade ohne vorher nachzudenken mit dem Chrome auf der vupen Seite.

  4. @Linus: Wo ich gerade lese, daß Google

    „vermutlich schon Bescheid weiß und daß die vereinbarte Frist abgelaufen ist“

    will ich nur kurz einwerfen, daß Vupen Security augenscheinlich ein Geschäftsmodel daraus macht, gerade Regierungen einen informellen Vorsprung vor allen anderen zu geben. Schaue Dir bloß mal deren Twitter-Account mit Meldungen wie dieser an:

    We released our exploit and binary analysis for MS Internet Explorer (MS11-018 / CVE-2011-0094). Was shared with Govs 7 months earlier

    In dem Zusammenhang verweise ich gerne mal auf Peter Welcherings Artikel zum Thema „Nachrichtendienste als Sicherheitsrisiko„. Sehr lesenswert.

  5. Das Starten des Taschenrechners beweist gerade NICHT, dass BELIEBIGER Code ausführbar ist. Nur dass vorhandene Programme gestartet werden können.

    1. Ich kenn mich ja auf Windows nicht so aus, aber ein curl-Äquivalent gehört da sicherlich zu, oder? Ansonsten fiele mir genügend Spaß mit einem Shellscript ein paar Windows-Hausmitteln ein.

    2. Im verlinkten Artikel steht auch das der Calc zuvor heruntergeladen wird. So lässt sich dann auch Schadcode herunterladen & ausführen.

      Als Beweis ist das Video sowieso völlig unbrauchbar ;)

  6. Sercurityfreaks, die ihre komplette Energie für das Aufspüren von sicherheitsrelevanten Bugs verschwenden, anstatt sich um echte Verbesserungen von Software zu kümmern, dürfen für ihr Verhalten nicht auch noch derart zu Helden stilisiert werden. Grade wenn sie so ein verschwörerisches Tamtam um ihren Fund machen. Was für ein Zirkus, echt.

    Das Sternchen geht an Linus Torvalds, der nicht zu unrecht sagte, dass er das OpenBSD-Team für eine Bande mastrubierender Affen hält: http://lkml.org/lkml/2008/7/15/296

  7. Das Proof-of-Concept nicht zu veröffentlichen ist bei einem so weit verbreiteten Programm ja keine schlechte Idee

    Äh, doch. Nichtveröffentlichung ist kein Anreiz für den Hersteller, das Problem zu fixen. Veröffentlichung ist ein Anreiz für den Hersteller, das Problem zu fixen.

    1. Stimme zu. Habe daher auch im Artikel auf Responsible Disclosure verlinkt.
      Der feine Unterschied: Die Ankündigung, WANN die Lücke veröffentlicht wird, erhöht den Druck auf den Hersteller, sie schnell zu schließen, ohne dass unverhersehbar viel Schabernack damit getrieben wird.
      Zum Thema Responsible/Open/etc. Disclosure gibt es auch ein etwas älteres Chaosradio
      Zum Argument mit der Veröffentlichung würde ich noch Firesheep anführen. Bisher ist da ja nicht allzu viel geschehen.
      Prinzipiell denke ich aber, dass wir beide übereinstimmen, dass eine Regierung so ungefähr der schlechteste Ansprechpartner für Disclosure ist – erst recht, wenn sie wie in diesem falle sogar der Auftraggeber zu sein scheint.

      1. Firesheep ist unspezifisch, gegen alles-und-jeden gerichtet – wie ein substanzieller „Erfolg“ messbar wäre, kann man daher wunderbar streiten, bis die Sonne ausgeht. Aber es kann gut und gerne der z.b. Grund für Github sein, nur noch HTTPS anzubieten. Auch HSTS sehe ich als Kind dieser und ähnlicher Entwicklungen.

  8. http://www.gulli.com/news/forscher-umgehen-chrome-sicherheitsmechanismen-2011-05-10

    erklärt es doch recht anschaulich:

    der cal.exe wird nachgeladen und läuft ausserhalb der sandbox, was so auch im video zu sehen ist (kein kind-prozess), dazu müßte wohl auch mindestens chrome.exe neugestartet werden, was sicher nicht ganz unbemerkt ablaufen sollte ;-)

    der trick ist also aus der sandbox heraus ein exploit zu starten, der ausserhalb der sandbox läuft. mit welchen rechten auch immer.

    das video soll sicher auch kein beweis sein. seht es etwas als veranschaulichung. powerpoint. wissenschon.

    im übrigen scheint möglicherweise NICHT ggl benachrichtigt zu haben.
    jedenfalls ist das aus einem update auf gulli zu lesen.
    http://www.gulli.com/news/forscher-umgehen-chrome-sicherheitsmechanismen-2011-05-10

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.