Thema: Google diverses

[SiLæncer]

Google hat das Update 10.0.648.205 für Windows, Mac, Linux und Chrome Frame veröffentlicht, das insgesamt vier Lücken schließt. Drei der Lücken finden sich in der Unterstützung der GPU-Beschleunigung. Da sie alle als kritisch eingestuft wurden, ermöglichen sie laut der Risikostufen von Google den Ausbruch aus der Sandbox – und damit den Zugriff auf das Betriebssystem. Eine der GPU-Lücken betrifft jedoch nur die Windows-Version von Chrome.

Daneben enthält die neue Chrome-Version ein überarbeitetes Flash-Player-Plug-in von Adobe, in dem die kürzlich gemeldete Schwachstelle geschlossen ist. Adobe will die Version des Plug-ins für andere Browser im Laufe des heutigen Freitags veröffentlichen. Den Vorsprung von Google erklärt Adobe damit, dass man erheblich mehr Szenarien und Kombinationen durchtesten müsse, bevor eine neue Fassung durch die Qualitätskontrolle gelaufen sei.

Grundsätzlich sind auch Adobe Reader und Acrobat betroffen, da eine Flash-Engine auch dort enthalten ist. Für Adobe Reader 9.x und Acrobat 9.x ist ein Update für den 25. April geplant. Das Update für Adobe Reader X soll erst im Juni erscheinen, da dort die Sandbox Angriffe ins Leere laufen lässt und daher das Problem weniger dringend ist.

Quelle : www.heise.de

[SiLæncer]

Der französische Sicherheitsdienstleister Vupen hat nach eigenen Angaben einen Exploit für die aktuelle Version des Web-Browsers Chrome entwickelt, der sowohl die Sandbox als auch die Windows-Schutzfunktionen DEP und ASLR umgeht. In einem Video zeigen die französischen Experten, wie nach einem Besuch einer präparierten Seite mit Chrome 11 der Taschenrechner unter Windows 7 SP1 (x64) startet – ohne dass Chrome abstürzt oder der Rechner sonst irgendein auffälliges Verhalten zeigt.

Wie der Exploit alle Sicherheitsfunktionen aushebelt und weitere Hintergründe will Vupen vorerst nicht verraten. Behörden, die zu den Kunden des Dienstleisters gehören, sollen jedoch bereits über den Exploit informiert sein. Ob Google über die Lücke informiert ist, gibt Vupen nicht an. Der Dienstleister teilt seine Erkenntnisse jedoch nicht mehr uneingeschränkt mit Software-Herstellern.

Auf dem vergangenen Pwn2Own-Wettbewerb versuchte sich keiner der Teilnehmer an Chrome, da die Sandbox wohl noch eine zu hohe Hürde darstellte. Allerdings ist es nicht die erste Lücke, über die Angreifer in der Lage wären, Code außerhalb der Sandbox auszuführen. Bislang wurde sie jedoch nur im Rahmen des Bug-Bounty-Programms von Google bekannt und auch gleich geschlossen. Auch das Aushebeln der Datenausführungsverhinderung (DEP) und das Laden von Bibliotheken an zufällige Stellen (ASLR) wurde bereits demonstriert, zuletzt auf dem Pwn2Own-Wettbewerb mit dem Internet Explorer 8.

Chromes Sandbox isoliert alle Renderprozesse, indem es zwischen den Prozessen und dem Windows-API einen Proxy schaltet. Dieser sogenannte Broker prüft anhand einer Richtlinie, ob der Prozess den API-Aufruf tätigen darf, ruft dann die Funktion auf und liefert das Ergebnis an den Prozess zurück. Ähnlich funktioniert auch Adobes Sandbox im Reader X. Unter anderem nutzt Chromes Sandbox seit Vista die Integrity Level (siehe auch den heise-Security-Artikel Rechte und Rechtschaffenheit), mit der sich festlegen lässt, welche Prozesse auf welche Ressourcen zugreifen dürfen.

Auch der Internet Explorer realisiert seinen Protected Mode ab Version 7 in Teilen über die Integrity Level. Durch das Setzen eines niedrigen Integrity Levels werden dem Internet Explorer etwa Schreibzugriffe auf Teile des Dateisystems verwehrt. Damit kann sich Schadsoftware nicht mehr so leicht im System verankern.

Quelle : www.heise.de

[SiLæncer]

Google hat das Chrome-Update 12.0.742.112 für alle unterstützten Betriebssysteme vorgelegt. Es schließt sechs Lücken, die Google mit der Risiko-Stufe "Hoch" versehen hat – die höchste Stufe ist "Kritisch", da sich dann eingeschleuster Code auch außerhalb der schützenden Sandbox des Browsers ausführen lässt.

Bei den meisten Fehlern handelt es sich um Zugriffe auf bereits freigegebene Speicherbereiche. Google hat insgesamt 6000 US-Dollar an die Entdecker und Melder der Lücken ausgezahlt. Das Update installiert sich beim Start einer alten Chrome-Version automatisch ohne Zutun des Anwenders.

Quelle : www.heise.de

[SiLæncer]

Google Chrome ist ab sofort in einer neuen Version verfügbar. Die letzte stabile Release trägt die Versionsnummer 14.0.835.187, die Beta-Version die Versionsnummer 15.0.874.58. Mit dem Update beseitigt Google die Fehleinstufung des Browsers als Teil des Banking-Trojaners PWS:Win32/Zbot (Zeus) durch Virenscanner aus dem Hause Microsoft.

Ein fehlerhafter Patch für Microsoft Security Essentials (MSE), Microsoft Forefront und Windows Defender hatte dazu geführt, dass die Virenscanner chrome.exe als Schadsoftware identifizierten und zum Löschen vorschlugen. Bereits am Freitag hatte Microsoft ein außerplanmäßiges Signatur-Update eingespielt, das das Problem beheben soll.

Die neue Chrome-Version sollte sich bei Windows-Anwendern beim nächsten Start des Browsers automatisch installieren.

Quelle : www.heise.de

[SiLæncer]

Google hat seinen Chrome-Browser in Version 14.0.835.202 für Windows, Mac OS X und Linux veröffentlicht und damit neun Sicherheitslücken geschlossen. Auch die IE-Erweiterung Chrome Frame wurde aktualisiert. Unter den Lücken befindet sich ein kritischer Speicherfehler im Shader Translator der WebGL-Implementierung. Den anderen Lücken hat Google die Gefahrenstufe "hoch" zugeteilt, zudem den in Chrome integrierten Flash-Player auf die gestern erschienene Version 11 aktualisiert.

Die Mehrzahl der Schwachstellen hat der russische Sicherheitsforscher Sergey Glazunov entdeckt, der dafür im Rahmen von Googles Bug-Bounty-Programm mit insgesamt 8000 US-Dollar belohnt wurde. Chrome hält sich selbst auf dem neuesten Stand. Ob sich Chrome bereits aktualisiert hat, erfährt man nach einem Klick auf das Schraubenschlüssel-Symbol und "Über Google Chrome". Googles Fix für die SSL/TLS-Schwachstelle hat noch nicht den Sprung von der Entwicklerversion in den stabilen Versionszweig geschafft.

Quelle : www.heise.de

[SiLæncer]

Aus 14 wird 15: Google hat eine neue stabile Version seines freien Browsers Chrome veröffentlicht. Größte für Benutzer sichtbare Neuerung ist die umgestaltete Seite "Neuer Tab". Sie zeigt jetzt Apps und zuletzt besuchte Seiten in getrennten Abschnitten an, zu denen der Anwender durch Klick auf Rechts- oder Linkspfeile wechselt. Installierte Anwendungen lassen sich durch Ziehen auf die rechte untere Browser-Ecke entfernen – dort taucht dann ein Papierkorb auf.

Gleichzeitig haben die Entwickler zahlreiche Sicherheitslücken im Browser geschlossen. Das war Google die Rekordsumme von 26.500 US-Dollar wert, die es als Prämie an die Entdecker der Bugs zahlte. Fast die Hälfte davon strich Sergey Glazunov ein, der für vier von ihm entdeckte gefährliche Verletzungen der Cross-Origin-Regeln 12.174 Dollar bekam. Er hatte bereits für das Aufspüren von Sicherheitsmängeln in Chrome 8, 9 und 13 mehrere tausend Dollar erhalten.

Details den geschlossenen Lücken will Google erst veröffentlichen, wenn die Mehrzahl der Anwender den neuen Browser einsetzt, in dem sie geschlossen sind.

Als Schutz gegen den BEAST-Angriff wurde außerdem die NSS-Bibliothek aktualisiert. Das behob auch einen Bug, den die Chrome-Entwickler nicht für sicherheitsrelevant hielten. Google weist darauf hin, dass die neue NSS-Version zu Schwierigkeiten mit Hardware des Netzwerkausrüsters Brocade führen könne.

Chrome aktualisiert sich automatisch, Anwender müssen also nichts unternehmen, um die neue Version zu erhalten. Eine Liste aller Änderungen ist online verfügbar.

Quelle : www.heise.de

[SiLæncer]

Google schließt mit dem Update auf Chrome 15.0.874.121 eine Sicherheitslücke der Risikostufe "hoch" in der JavaScript-Engine V8. Bei der Lücke handelt es sich um einen Speicherfehler, durch den ein Angreifer unter Umständen Code auf dem Rechner des Opfers ausführen kann, wie Secunia berichtet. Die Details hält Google wie gewohnt zunächst unter Verschluss, um die Sicherheit der Chrome-Nutzer nicht zu gefährden. Ein Ausbruch aus der Sandbox des Browsers ist durch die Lücke aber wohl nicht möglich, andernfalls hätte das Google die Lücke als kritisch eingestuft.

Gemeldet hat die Lücke der Sicherheitsforscher Christian Holler, den Google im Rahmen seines Bug-Bounty-Programms mit 1000 US-Dollar belohnt hat. Zudem wurde ein nicht sicherheitsrelevanter Fehler bei der Anzeige von SVG-Dateien behoben. Chrome aktualisierst sich über eine Auto-Update-Funktion in der Regel automatisch. Ob man bereits mit der aktuellen Version surft, erfährt man nach einem Klick auf das Schraubenschlüsselsymbol und einem weiteren auf "Über Google Chrome".

Quelle : www.heise.de

[SiLæncer]

Google hat Version 16.0.912.77 des Chrome-Browsers veröffentlicht, die vier Sicherheitslücken der Risikostufe "hoch" schließt. Unter den Lücken befinden sich zwei Speicherfehler bei der DOM-Verarbeitung (Document Object Model), ein Buffer-Overflow im Tree Builder sowie ein nicht initialisierter Wert in der 2D-Grafikbibliothek Skia. Die Schwachstellen wurde von Sicherheitsexperten mit dem Fehlersuchtool AddressSanitizer aufgespürt und vertraulich an Google gemeldet.

Zudem gab Google bekannt, dass bereits mit dem vorherigen Update auf Version 16.0.912.75 eine kritische Lücke im Malware- und Phishing-Filter Safe Browser geschlossen wurde. Durch einen Zugriff auf einen freigegebenen Speicherbereich konnten Angreifer beim Besuch einer Webseite Schadcode auf dem System ausführen. Die Lücke hat Google damals "versehentlich" nicht mit in den Relase Notes angegeben.

Chrome aktualisiert sich normalerweise selbstständig im Hintergrund. Ob man bereits mit der aktuellen Version des Browsers surft, erfährt man nach einem Klick auf das Schraubenschlüssel-Symbol und einem weiteren auf "Über Google Chrome".

Quelle : www.heise.de

[ritschibie]

Adam Langley von Google hat in seinem Blog beschrieben, wie der Webbrowser Chrome künftig die Prüfung von Zertifikaten von HTTPS-Webseiten handhaben will.

Wenn ein Browser eine Webseite mit HTTPS aufruft, sollte er das Zertifikat des jeweiligen Webservers prüfen. Zertifikate werden von Zertifizierungsstellen zentral ausgestellt und können von diesen auch für ungültig erklärt werden. Da die Liste der ungültigen Zertifikate bei der Zertifizierungsstelle abgerufen werden muss, hat das zweierlei Konsequenzen: Der Aufruf und die Übertragung übers Netz kostet Zeit, und die Zertifizierungsstelle könnte die Daten sammeln.

Ein weiteres Problem ist, dass die Zertifizierungsstelle vielleicht nicht erreichbar ist oder durch Schadsoftware auf dem Rechner des Benutzers abgeblockt wird. Daher ignorieren nahezu alle Browser solche Probleme und nehmen einfach an, dass das Zertifikat noch gültig ist.

Wenn die Zertifizierungsstelle erreichbar ist, ist laut Langley die Zeit für das Prüfen des Zertifikats 0,3 s im Median und fast eine Sekunde im Mittel. Das könnte die Benutzer dazu bringen, lieber das ungesicherte HTTP zu verwenden, weil sie so einfach schneller browsen können. Es ist außerdem ein Privatsphärenproblem, da die Zertifizierungsstelle die IP-Adresse des Anfragenden sowie den Ziel-Server erhält und protokollieren könnte.

Aus diesen Gründen sollen kommende Versionen von Google Chrome auf die Online-Prüfung verzichten. Stattdessen soll der Browser die jeweils aktuellen Listen der ungültigen Zertifikate eingebaut haben. Doch das ist noch nichts Neues, und das machen Firefox und die Browser von Opera und Microsoft auch schon. Zusätzlich soll Chrome den Online-Update-Mechanismus nutzen, um die Liste ohne Neustart des Browsers zu aktualisieren. Schadsoftware könnte zwar versuchen, solche Updates zu blockieren, dies scheint aber viel weniger aussichtsreich als die Blockierung von Zertifizierungsstellen. Mit der Maßnahme zieht Google auch die Konsequenzen aus der Kompromittierung mehrerer Zertifizierungsstellen im vergangenen Jahr, die von den betroffenen Unternehmen teilweise lange verheimlicht wurden. Trotzdem sind die Zertifizierungsstellen aufgefordert, ihre Listen für die Verwendung in Chrome zur Verfügung zu stellen.

Quelle: www.pro-linux.de

[ritschibie]

Google will seine Business-Anwendungen künftig auch in Übereinstimmung mit der Datenschutz-Richtlinie der Europäischen Union anbieten. Das kündigte der Konzern am Donnerstag in einem Blogbeitrag an. Bislang standen die Google-Anwendungen für Kunden in Europa lediglich unter der im Jahr 2000 zwischen der EU und den USA geschlossenen Datenschutz-Vereinbarung "Safe Harbor". Sie ermöglicht es europäischen Unternehmen, personenbezogene Daten legal in die USA zu übermitteln. Künftig können Google-Kunden weltweit zusätzlich auch die strengere EU-Datenschutzrichtlinie aus dem Jahr 1995 zur vertraglichen Grundlage machen. "Wir erarbeiten entsprechende Musterverträge", sagte Google-Manager Marc Crandall der Nachrichtenagentur dpa.

Bislang setzen nach Angaben des Internet-Konzerns weltweit über 4 Millionen Unternehmen Google Apps ein. In Europa gehören Unternehmen wie der Chemiekonzern Roche und das Schweizer Verlagshaus Ringier zu den Enterprise-Kunden von Google.

Die Datenschutz-Richtlinie der EU verbietet es, personenbezogene Daten aus EU-Mitgliedsstaaten in Länder zu übertragen, die nicht über ein dem EG-Recht vergleichbaren Datenschutz verfügen. Dazu gehören eigentlich auch die USA. Mit "Safe Harbor" konnten sich US-Unternehmen jedoch auf die "Grundsätze des sicheren Hafens" verpflichten lassen, um Daten aus Europa in den USA weiterverarbeiten zu können. In vielen Organisationen und Unternehmen wurde das aber nicht als ausreichend erachtet. Künftig können Google-Kunden zusätzlich zu der "Safe Habor"-Regelung auch die Grundsätze der EU-Datenschutz-Richtlinie 95/46/EG vertraglich vereinbaren.

Mit der rechtlichen Vereinbarung ist aber nicht unbedingt eine räumliche Begrenzung der Server-Standorte auf den Bereich der Europäischen Union verbunden. Unabhängig zum physikalischen Standort der Rechner könne Google sich aber auf die Datenschutz-Bestimmungen der EU vertraglich verpflichten. In der EU-Datenschutzrichtlinie wird die Verarbeitung von sensiblen personenbezogener Daten in der Regel untersagt und nur in eng definierten Grenzen zugelassen. Das EU-Recht erlaubt aber bei Strafsachen, dass Polizei und Justiz in einem gesetzlich geregelten Verfahren auf bestimmte Daten zugreifen dürfen.

www.heise.de

[SiLæncer]

Google hat mit Chrome-Version 20 insgesamt 23 Schwachstellen in seinem Browser geschlossen. 14 davon sind kritisch, erlauben also etwa das Ausführen von Code innerhalb der Sandbox. Bei den Lücken handelt es sich unter anderem um Integer Overflows bei der Verarbeitung von PDF-Dateien und Matroska-Containern (.mkv). Anwenderberichten zufolge soll Chrome nun auch einen Flash-Player für 64-bittige-Linuxsysteme mitbringen.

Darüber hinaus wurde die Funktion "Chrome to Mobile" aktiviert, die man bislang durch eine Erweiterung nachrüsten musste. Ist mit dem bei Chrome eingestellten Google-Account auch ein Android-Handy verknüpft, lässt sich die aktuell geöffnete Webseite durch einen Klick auf das Handy-Symbol neben der Adressleiste an das Smartphone übergeben. Das klappt allerdings nur in Verbindung mit Chrome für Android, das mindestens Android 4.0 voraussetzt.

Chrome aktualisiert sich normalerweise automatisch im Hintergrund. Mit einem Klick auf das Schraubenschlüssel-Symbol und "Über Google Chrome" lässt sich herausfinden, ob bereits die aktuelle Version installiert ist, und das Update notfalls manuell anstoßen.

Quelle : www.heise.de

[SiLæncer]

Die Version Chrome 20 bringt die Sicherheit des Google-Browsers einen deutlichen Schritt voran – zumindest für die in dieser Hinsicht eher stiefmütterlich behandelten Linux-User. Sie führt ein neues Sandbox-Konzept ein, das sehr genau reguliert und filtert, welche Systemaufrufe ein Prozess tätigen kann.

In Bezug auf Sicherheit war die Linux-Version bislang ein wenig das Stiefkind des Google-Chrome-Familie, das nicht in den Genuss der fortschrittlichen Sicherheitskonzepte des Browsers kam. Etwa das Einsperren von gefährlichen Plug-ins wie Flash in eine sichere Sandbox war im Wesentlichen den Windows-Versionen vorbehalten. Bereits im Februar führte Google für 64-Bit-Linux immerhin das sogenannte Pepper Flash ein, das den Plug-in-Prozess in eine chroot-Umgebung einsperrt und die Kommunikation mit anderen Prozessen unterbindet. Mit der kürzlich veröffentlichten Version 20 kommt nun die Seccomp-Sandbox hinzu.

Seccomp – kurz für Secure Computing – ist eine Sicherheitserweiterung des Linux-Kernels, bei der ein Thread nur noch bestimmte System-Aufrufe tätigen kann. Ursprünglich war das so vorgesehen, dass er im wesentlichen nur noch über bereits zuvor geöffnete Datei-Handles Lesen und Schreiben (read(), write()) und sich ordentlich Beenden (exit(), sigreturn()) durfte. Versucht ein so eingesperrter Thread eine andere Systemfunktion zu nutzen, beendet ihn der Kernel direkt. Um dieses Konzept breiter einsetzen zu können, fügten die Entwickler eine Möglichkeit hinzu, Systemaufrufe an einen speziellen Broker zu senden, der sie dann mit einer Liste erlaubter Funktionen vergleicht und auch die Parameter überprüft, bevor er sie an das System weiter reicht.

In eine solche Seccomp-Sandbox ist laut Google-Entwickler Chris Evans zumindest beim aktuellen Ubuntu 12.04 das native 64-Bit-Flash-Plug-in von Chrome 20 eingesperrt. Sie ergänzt somit die Pepper-Flash-Sandbox, was Evans lax als "Double Bagging" bezeichnet. Da die Windows-Sandbox im wesentlichen nur auf die mit Vista eingeführten Integrity Level setzt und somit unter anderem beliebige Lesezugriffe gestattet, dürfte die doppelte Linux-Sandbox derzeit sogar die sicherste Methode sein, Flash-Inhalte im Browser auszuführen – zumindest wenn man externe Wrapper wie Blitzableiter außen vor lässt.

Quelle : www.heise.de

[ritschibie]

Diese Woche hat Google die neueste Beta-Version des Browsers Chrome vorgestellt. Nummer 21 bringt vor allem die getUserMedia API, das Protokoll ist in der neuesten Beta standardmäßig aktiviert. Sicherheitsexperten warnen aber vor der neuen Funktion.

Wie das Online-Magazin 'The Inquirer' berichtet, warnen Sicherheitsexperten vor der neusten Beta-Version des Google-Browsers. Chrome 21 bringt eine "neue" API mit sich: getUserMedia API erlaubt per HTML5 Webseiten den direkten Zugriff auf eine Webcam oder ein Mikrofon, ohne dass man dafür ein eigenes Plugin installieren muss.

Was für Anwender sicherlich praktisch ist, sorgt bei Sicherheitsexperten für so manche Sorgenfalten: Sie warnen, dass diese Funktion besonders attraktiv für Kriminelle sein könnte. So sagte etwa Rik Ferguson vom japanischen Virenschutzunternehmen Trend Micro: "Wir haben bereits erlebt, dass sowohl bei Online-Banking-Malware, als auch zielgerichteten Angriffen auf Video-Hardware zugegriffen worden ist."

Der Angreifer könne "einfach ein JavaScript erstellen, dass den Zugriff auf Video und/oder Audio-Hardware verlangt", so Ferguson. Statt sich auf eine Datei zu verlassen, die lokal erstellt und hochgeladen wird, erlaubt die neue (von Haus aktivierte) Funktion die Live-Übertragung von Medien, was nach Ansicht von Ferguson die Sicherheitsbedenken steigert.

Auch Fergusons Kollege Sean Sullivan von F-Secure ist besorgt: "Ich bin aber nicht wegen 'Hackens' besorgt, sondern aufgrund 'Click-Jackings'", sagt Sullivan. Dabei handelt es sich um Schadcode, der automatisch die Aufnahme von Audio und Video aktiviert, indem es die Bestätigungs-Klicks im Browser "entführt" (vom englischen "Highjacking" abgeleitet).

Wer also kein großes Vertrauen zu Beta-Versionen hat, sollte vorerst die Finger von Chrome 21 lassen. Eine Stellungnahme seitens Google gab es zu diesen Sicherheitsbedenken bislang noch nicht.

Quelle: www.winfuture.de

[SiLæncer]

Google macht den Browser Chrome wieder ein wenig sicherer – wenn man die Tatsache, dass sich Erweiterungen nur noch aus dem offiziellen Chrome Web Store laden lassen, als Sicherheits-Feature sehen möchte. Bislang war es auch externen Seiten möglich, dass diese Erweiterungen zur direkten Installation anboten, die Zeiten sind nun vorbei.

Zwar kann man immer noch extern Erweiterungen für Chrome zum Download anbieten, eine Inline-Installation ist aber nicht möglich und Google quittiert das Ganze auch mit der Meldung, dass sich Apps, Erweiterungen und Skripte nur noch aus dem Chrome Web Store hinzufügen lassen.

Quelle: Caschys Blog

[Jürgen]

Ich gehe davon aus, dass das dann auch für die üblichen Derivate gelten wird.
Und damit hat sich das Thema für mich komplett erledigt.
Gerade von denen lasse ich mich gewiss nicht einengen bzw. zensieren...

Jürgen