Meldungen
Meldungen
Archive
- Januar 2018
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Dezember 2014
- November 2014
- Oktober 2014
- September 2014
- August 2014
- Juli 2014
- Juni 2014
- Mai 2014
- April 2014
- März 2014
- Februar 2014
- Januar 2014
- Dezember 2013
- November 2013
- Oktober 2013
- September 2013
- August 2013
- Juni 2013
Chromodo: Chromium-basierter Browser reißt schwere Lücke ins System
Wer die „Sicherheitssoftware“ Comodo Internet Security auf seinem System installiert hat, sollte sich seinen Rechner wohl näher ansehen. Denn die Software-Suite installiert ungefragt einen neuen Default-Browser namens Chromodo. Dabei werden auch alle Links, Einstellungen, Cookies etc. von Chrome importiert. Dem Nutzer wird weisgemacht, dass Chromodo besonders sicher ist. Dabei ist genau das Gegenteil der Fall.
Segen und Fluch
Chromium, das Open-Source-Fundament des Google-Browsers Chrome, ist durchaus Segen und Fluch zugleich: Denn Chromium erlaubt es vielen Anbietern, eigene Browser-Varianten umzusetzen, allerdings sind dabei zahlreiche Vorgaben zu beachten. Vor allem die Sicherheit darf nicht unter den Anpassungen leiden, doch genau das macht Chromodo.
Der Browser wird nämlich im Zuge einer Installation der Comodo Internet Security auf das System „geschmuggelt“, man kann fast von einem Kapern sprechen. Im Google Security Research-Bereich im Code-Forum des Suchmaschinenkonzerns wird Chromodo nämlich scharf verurteilt (via Caschy). Vor allem der Umstand, dass die Same-Origin-Policy ausgehebelt wird.
Chromodo: Sollte man nicht auf dem System haben Bei diesem Sicherheitskonzept dürfen Objekte wie Grafiken von clientseitigen Skriptsprachen nur von ein- und derselben Quelle bezogen werden, das ist ein wesentliches Sicherheitskonzept moderner Browser. Wenn die Same-Origin-Policy fehlt, stellt das ein signifikantes Risiko dar, da sich der Browser dann sehr leicht für Exploits ausnutzen lässt.
Zwielichtig
Auf die Veröffentlichung dieser schweren Sicherheitslücke hat Comodo zunächst gar nicht und dann nur halbherzig reagiert. Man hat gestern die im Demo-Exploit verwendete „execCode“-API entfernt, das wird aber als „triviale Änderung“ bezeichnet. In weiterer Folge geht der Entdecker dieses Verhaltens mit Comodo hart ins Gericht und meint, dass es zahlreiche Hinweise für die „Zwielichtigkeit“ von Chromodo gebe.
Google, Browser, Chrome, Chromium Google 
nr. 2