Thema: Google diverses

[SiLæncer]

Was die Google-Entwickler bereits in der Version 20 ihres Chrome-Browsers für Linux eingebaut haben, kommt im kürzlich erschienenen Chrome 21 auch Windows-Nutzern zu Gute: Eine bessere Abschirmung des Flash-Plug-in soll dessen Abstürze um 20 Prozent reduzieren. Gleichzeitig macht die Technik Grafikprozessoren für die Wiedergabe von Flash-Animationen zugänglich.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

In der jetzt veröffentlichten Version 18.0.1025308 seines Chrome-Browsers für Android schließt Google 7 als mittelschwer eingestufte Sicherheitslücken. Für jede erhielt der Entdecker eine Belohnung von 500 US-Dollar. Der Blog-Beitrag beschreibt die Fehler nur allgemein, und die Bug-Datenbank verrät nichts über sie.

Zwei Lücken betreffen Cross-Application Scripting (UXSS), nutzen also Schwächen innerhalb des Browsers für eine XSS-Angriff (Cross-Site Scripting) aus. Geeignete URLs mit dem Schema "file" konnten offenbar dank zweier weiterer Fehler Authentifizierungsdaten (Credentials) zugänglich machen, und ein Bug gewährte JavaScript-Code Zugriff auf Android-APIs.

Eine UXSS-Lücke war kürzlich auch in der Desktop-Version von Chrome entdeckt worden. Im März 2012 zahlte Google dem Pwnage-Teilnehmer Sergey Glazunov dafür die Rekordprämie von 60.000 US-Dollar.

In einem weiteren Blog-Beitrag sprechen die Chrome-Entwickler davon, dass sie die Sicherheitsfunktionen der Sandbox verbessert hätten, sodass der Browser besser vor bösartigen Webanwendungen geschützt sei. Die neue Funktion verwende die "Technik der User-ID-Isolierung" und werde für Nutzer von Android 4.1 automatisch angeschaltet. Wie sie genau funktioniert und ob sie für ältere Android-Versionen nachgerüstet werden wird, ist dem Beitrag nicht zu entnehmen.

Quelle: www.heise.de

[SiLæncer]

Nicht lange ist es her, da hat Google die Daumenschrauben ein wenig enger gezogen. So war es dann nicht mehr so einfach möglich, Erweiterungen für Chrome zu installieren, wenn diese nicht direkt aus dem Chrome Web Store stammten. Doch das System krankt immer noch etwas, die Offenheit hat nicht nur Vorteile, wie eine Sicherheitsfirma entdeckt haben will.

Unter dem Deckmantel der populären Spiele aus dem Hause Rovio hat man einige Erweiterungen und WebApps gebastelt, die dem Benutzer zwar keine Schadsoftware im eigentlichen Sinne unterjubelte, sondern die Erweiterungen gingen perfider vor, um die Entwickler mit ein wenig Geld zu versorgen.

Im konkreten Beispiel ging es um Bad Piggies von Rovio. Brandneues Spiel mit Suchtfaktor. Logisch, dass viele danach suchen. Unter dem Namen Bad Piggies oder Angry Birds Bad Piggies (und anderen) hat dann  der Entwickler hinter playook.info diverse Spiele a la Angry Birds veröffentlicht, diese funktionierten auch – war zwar nicht Bad Piggies, sondern irgendein Abklatsch, jubelten aber geschickt Werbung unter. Im Spiel? Das wäre ja unter Umständen noch ok gewesen.

Das Spiel forderte erst einmal Daten auf allen Webseiten ein (erster Screenshot). Da achtest du drauf, da achte ich drauf. Da achten aber genug Leute eben nicht drauf. Spiel installiert, Zugriff auf alle Daten – Party on.

Das Spiel sorgte dafür, dass auf populären Webseiten – wie zum Beispiel auf Yahoo.com – zusätzliche Werbung eingeblendet wird. Nicht nur Yahoo ist betroffen, auch PirateBay, 9gag, MSN, ebay und Co.  Die Sicherheitsfirma hat zusammengerechnet – ihr sind bis dato 83.000 Installationen solcher Spiele unter die Lupe gekommen. Ich habe das mal überprüft, die verlinkten Spiele sind nicht mehr zu finden, wohl aber agiert die Firma wieder mit den gleichen Spielen unter den gleichem Namen, nur die Erweiterungs-URL ist eine andere.

In diesem Sinne: Augen auf beim Eierkauf, seid wachsam, passt auf was ihr installiert und sensibilisiert euer Umfeld – man hat ja immer so Raketenforscher dabei… (ja ich weiss,wer Apps mit diesen Rechten installiert ist selber schuld – dennoch.)

Quelle: Caschys Blog

[SiLæncer]

Die jetzt für den Produktivbetrieb freigegebene Version 23 von Googles Browser Chrome schließt vierzehn Sicherheitslücken, deren Entdecker insgesamt 9000 US-Dollar Prämien erhalten. Einer der Fehler tritt nur in der Mac-Variante auf und betrifft den Grafiktreiber. Die übrigen Bugs stören die Speicherverwaltung, etwa durch Schreiben jenseits von Array-Grenzen und das Benutzen bereits freigegebenen Speichers.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine Lücke in Adobes Flash Player Plug-in ist in Google Chrome zu neuem Leben erwacht. Adobe hat die Schwachstelle bereits 2011 geschlossen, in Chrome ist sie aber weiterhin ausnutzbar.

Bei der Lücke handelt es sich um Clickjacking. Opfer klicken unter falschem Vorwand auf ein transparentes – für sie nicht sichtbares – Flash-Objekt und geben damit den Zugriff auf ihre Webcam und ihr Mikrofon frei. Kriminelle können die Opfer belauschen und Aufnahmen von ihnen anfertigen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ein Fehler in Googles Browser erlaubt es Angreifern, das Rechnermikrofon ohne Wissen des Nutzers zum Mitschneiden seiner Gespräche zu verwenden. Das Leck ist dem Hersteller seit Monaten bekannt, aber bisher nicht behoben.

Nachdem Google eine ihm bekannte Sicherheitslücke innerhalb von vier Monaten nicht geschlossen hat, reichte es dem israelischen Sicherheitsexperten Tal Atar jetzt: Er veröffentlichte eine Beschreibung des Bugs samt Beispielcode für einen Exploit. Dieser demonstriert, wie ein Angreifer das Mikrofon des Rechners ohne Wissen des Nutzers zum Abhören von Gesprächen nutzen kann.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Not a bug but an NSA feature  

Jürgen

[SiLæncer]

Checken Sie doch mal, welche Geräte Zugriff auf Ihr Google-Konto hatten. Für mehr Sicherheit sorgt die Zweifaktor-Authentifizierung.

Aus gegebenem Anlass: In den Konto-Einstellungen unter Sicherheit können Sie sich unter letzte Aktivitäten alle mit Ihrem Google-Konto verbundenen Geräte anzeigen lassen. Taucht da ein System auf, das nicht Ihnen gehört oder das sie länger nicht verwendet haben, können Sie dort auch gleich den Zugriff sperren. Beim Verdacht eines unberechtigten Zugriffs empfiehlt es sich dringend, auch das Passwort zu ändern und die zugangsberechtigten Apps und Websites ebenfalls zu checken.

Der ganze Artikel

Quelle : www.heise.de