Fast alle gängigen Browser sind von einer umfangreichen Sicherheitslücke betroffen. Angreifer könnten Passwörter von Nutzern im Klartext aus dem Arbeitsspeicher auslesen, warnen Sicherheitsforscher. Neben Google Chrome sind auch Mozilla Firefox und Microsoft Edge in Gefahr.
Browser speichern Passwörter im Klartext
Die Sicherheitsforscher von CyberArk Labs haben eine Schwachstelle im Chrome-Browser von Google ausfindig gemacht, die allem Anschein nach auch bei Firefox und Edge existiert. Eigenen Angaben zufolge ist es ihnen gelungen, sensible Nutzerdaten aus dem Arbeitsspeicher auszulesen. Hier sollen unter anderem Account- und Zugangsdaten, aber auch Inhalte von Cookies, unverschlüsselt im Klartext zu sehen sein.
Über das kleine Tool „ProcessHacker“ sei es den Sicherheitsexperten rund um Zeev Ben Porat gelungen, an die Daten zu kommen. Einen entsprechenden Zugriff auf den Rechner vorausgesetzt, lässt sich die entdeckte Sicherheitslücke im Grunde nach Belieben ausnutzen. CyberArk Labs zufolge sind alle Browser betroffen, die auf die Chromium-Engine setzen, die hauptsächlich von Google entwickelt wird (Quelle: CyberArk Labs).
Dem Windows- und Sicherheitsexperten Günther Born zufolge sind aber auch Browser wie Mozilla Firefox betroffen, bei denen Chromium nicht verwendet wird. In allen gängigen Browsers sei es zudem möglich, die im Passwort-Manager gespeicherten Passwörter für weitere Angriffe in den Arbeitsspeicher zu laden.
Weitere Tech-News in der Übersicht:
Google kennt das Problem, winkt aber ab
CyberArk Labs hat nach eigenen Angaben Google als Betreiber des Chrome-Browsers über die Sicherheitslücke informiert. Google soll aber angegeben haben, die Lücke nicht schließen zu wollen. Derartige Angriffe würden sich „außerhalb des Bedrohungsmodells von Chrome“ befinden, heißt es in der veröffentlichten Begründung.
Für Chrome würde sich „keine Möglichkeit“ ergeben, sich gegen einen böswilligen Angreifer zu verteidigen, wenn dieser bereits Zugriff auf das System hat und Software mit den Rechten des Betriebssystem-Benutzerkontos ausführen kann.