Google Chrome: 27 von 100 Erweiterungen enthalten Sicherheitslücken


Eine Security-Forschungsgruppe an der University of California (UoC) in Berkeley hat insgesamt 100 Erweiterungen für Googles Browser Chrome auf Sicherheitslücken getestet. Die in dem Blog-Beitrag aufgeführten Daten sind Teil einer größeren Studie, die später im Jahr veröffentlicht werden soll. Das Ergebnis der Tests: 27 der 100 geprüften Extensions wiesen Sicherheitslücken auf – 51 Stück insgesamt – und geben bei einer erfolgreichen Attacke beispielsweise Informationen wie Passwörter und History an Angreifer aus dem Web oder dem lokalen Netzwerk (WLAN/LAN) ab. Die größere Gefahr scheint dabei aus dem lokalen Netz zu kommen: 23 der Bug-behafteten Extensions werden durch Angriffe aus WLAN/LAN gefährdet, drei durch Angriffe aus dem Internet und eine durch beide Angriffsarten.

Für den manuell absolvierten Test wählten die Forscher die zum Testzeitpunkt beliebtesten 50 Erweiterungen für den Browser aus und ergänzten das Testfeld durch 50 weitere zufällig gewählte Extensions – alle heruntergeladen aus Googles offiziellen Verzeichnis. Die Forscher suchten explizit nach Lücken, die sie zur Injektion von JavaScript ausnutzen konnten, da durch eine Skript-Injektion in den Core die komplette Extension übernommen werden kann.

Die Verteilung der vorgefunden Sicherheitslücken hat laut Adrienne Porter Felt, Mitglied der Security Research Group an der UoC, übrigens nichts mit der Popularität zu tun: "Die Sicherheitslücken sind gleichmäßig zwischen populären und zufälligen Samples verteilt. Es gibt keinen Sicherheitsunterschied, der sich auf die Popularität zurückführen lässt."

Unter den von Sicherheitslücken geplagten Extensions finden sich sieben Stück, die eine User-Basis von jeweils mehr als 300.000 Anwendern haben. Eine Liste der betroffenen Erweiterungen wollen die Forscher aber erst Mitte November veröffentlichen, da viele zum derzeitigen Zeitpunkt weiterhin ungepatcht sind. Damit wollen die Forscher den Entwicklern sechs Wochen Zeit geben, um die aufgefundenen Sicherheitslücken auszumerzen.

Immerhin ließ Felt in den Kommentaren durchblicken, dass in den beiden beliebten Extensions LastPass und Xmarks keine Sicherheitslücken gefunden wurden.

Ihren Blog-Beitrag schließt Felt mit einem Tipp ab, wie Entwickler ihre Erweiterungen sicherer gestalten können: Allein die Beachtung von Googles Content Security Policies würde die aufgefundenen Sicherheitslücken von 51 auf 2 verringern – das entspricht einer Reduktion um 96 Prozent. Würden Entwickler dann noch Tipps wie die im Chromium Blog veröffentlichte Anleitung beherzigen, wie man eine Extension sicherer schreiben kann, würden sie unnötige Probleme für ihre Anwender und sich selbst aus dem Weg räumen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content