14

Sicherheitslücke in Chrome entdeckt – und nicht veröffentlicht

Dieses Video zeigt, wie ein Taschenrechner-Programm aus dem Netz geladen und auf einem Windows-Rechner aufgerufen wird. Obschon dieser Prozess allein sicher manchen Computer-Neuling beeindruckt, wurde er nur deshalb als Videodokumentation veröffentlicht, weil er durch eine in Googles Chrome geöffnete Website initiiert wurde und somit eine beispielhafte Sicherheitslücke des Browsers aufzeigt. Denn es muss ja nicht immer nur ein Taschenrechner sein, der da ferngesteuert gestartet wird.

Entdeckt wurde diese Lücke in Chrome von der Sicherheitsfirma VUPEN, welche die technischen Details allerdings nicht etwa mit Google oder gar der Welt teilt, sondern nur mit ihren zahlenden Kunden (zu denen Google möglicherweise natürlich zählen könnte).

Und nicht nur Jeriko, moeffju und 343max fragen sich nun, ob so ein Verhalten korrekt ist, als Werbung gelten darf oder nicht als Erpressung gewertet werden muss.

14 Kommentare

  1. 01

    Der Taschenrechner wurde nicht aus dem Netz geladen, sondern es wurde der normale von Windows 7 genommen. Macht aber keinen Unterschied, wer das eine kann, kann auch das andere.

  2. 02
  3. 03

    Das Unternehmen brüstet sich auch auf Twitter damit, Chrome geknackt zu haben. Vor allem Google bezahlt viel Geld für das Auffinden von Sicherheitslücken, da gibt es eigentlich nicht einmal für raffgierige, kapitalistische Menschen einen Grund diese Lücke nicht zu melden.

  4. 04
    Hansi

    Vielleicht sollte man in diesem Artikel auch noch MS PO verlinken. Wenn schon, denn schon. So unter Kumpels.

  5. 05
    Jeriko

    @Max Winde: In der Beschreibung zum Video steht doch, dass der Rechner von einer „remote location“ geladen wurde? Aber ja, das eine, das andere…

  6. 06

    @Hansi: Hatte den Tweet von MS Pro nicht gesehen, welchen meinst du? Er war ja sicher nicht der einzige andere, ich bezog mich auf die Unterhaltung der drei Genannten.

    @Jeriko: Ah, danke. Ist korrigiert.

  7. 07
    KOPNR

    Erpressung? Also Google hat Chrome entwickelt (bzw. OSS zu einer Applikation zusammengeschraubt). Wenn sie dabei Fehler machen sind sie selbst Schuld. VUPEN hat eine Fehler gefunden, sie haben das Wissen was schief läuft. Wieso sollten sie dieses selbst erworbene Wissen mit Google kostenlos teilen? Seitwann muss man großen Konzernen das was man weiß schenken?

  8. 08
    Bian

    „Dieses Video zeigt, wie ein Taschenrechner-Programm auf einem Windows-Rechner aufgerufen wird. Obschon dieser Prozess allein sicher manchen Computer-Neuling beeindruckt, […].“
    Das muss aber wirklich ein völliger Neuling sein. Ich habe auf meiner Tastatur sogar eine eigene Taste für das Starten des Taschenrechners. Nicht wirklich schwierig. SCNR. ;)
    P.S.: Ach so, das war ja der Witz. Muss mal wieder meinen Ironiedetektor reinigen.

    @KOPNR: Angenommen, ich habe einen schwerwiegenden Fehler in der Statik deines Wohnhauses entdeckt, der innerhalb weniger Stunden zum Einsturz desselben führen kann, und sage dir: „Ich sag dir nur, wo der Fehler liegt, wenn du mir, sagen wir, die Hälfte des Wertes des Hauses zahlst.“ Würdest du das als Erpressung bezeichnen?
    Und den Verweis auf die zahlenden „Government customers“, denen die Information bereitgestellt wird, könnte man, um im Bild zu bleiben, durchaus als zusätzliche Drohung auffassen: „Übrigens: Wir sagen ein paar Randalierern, gegen welchen Teil der Mauer sie schlagen müssen, um dein Haus einstürzen zu lassen.“

  9. 09
    leo

    @Thomas: Viel Geld ist in dem Bereich relativ. Meines Wissens zahlt Google für Sicherheitslücken weniger als 5000$. Das Auffinden solcher Lücken kann aber auch mal deutlich teurer werden (sofern sie denn systematisch gesucht werden).
    Ich finde den Weg den VUPEN geht zwar auch nicht wirklich „sauber“, zumal mir niemand außer Google einfällt, der ein wirklich dringendes und legitimes (nichtakademisches) Interesse an solchen Lücken haben kann. Allenfalls vielleicht die Nutzer von Chrome.
    Allerdings zeigen einige Fälle der näheren Vergangenheit, dass Leute, die Sicherheitslücken finden und selbstlos melden nicht immer unbedingt gut von den Konzernen behandelt werden. Daher finde ich es zumindest begrüßenswert, wenn hier mit Nachdruck auf den Wert der eigenen Arbeit hingewiesen wird.
    Fairer fände ich es, wenn VUPEN einen gewissen (angemessenen) Preis aufrufen würde (warum sollte Google den Preis selber definieren?) und Google ein zeitlich befristetes Vorkaufsrecht anbieten würde.

  10. 10
    Bian

    @leo: Es bleibt einer Firma, die mit dem Aufspüren von Sicherheitslücken Geld verdienen möchte, doch unbenommen, mit (in diesem Fall) Google einen Vertrag abzuschließen, in dem ein Preis für gefundene Angriffspunkte festgelegt wird. Aber der Vertrag muss im Voraus abgeschlossen werden. Im Nachhinein einen bestimmten Betrag zu fordern – nun ja, so machen das eben Erpresser.

  11. 11
    leo

    @Bian: Nur wird sich in der Realität selten eine Firma bereit erklären, solch einen Vertrag zu schließen. Was sollen die Sicherheitsexperten dann machen, wenn oberflächlich gesehen kein „Bedarf“ besteht? Nicht arbeiten? Sich mit Taschengeldern abspeisen lassen? Sich vielleicht noch wegen „Copyrightverletzungen“ verklagen lassen?
    Sicherheitslücken sind nicht zuletzt die Folge mangelnder Investitionsbereitschaft seitens der Hersteller. Wer es vorher nicht bezahlen will, bezahlt es eben unter Umständen später wesentlich teurer.
    Google ist da vielleicht kein besonders gutes Beispiel. Es gibt viel extremere Fälle, wie z.B. Sony.

    Wenn die Mafia höhere Preise als die Industrie zahlt, dann bedeutet das in meinen Augen, dass die Industrie versucht, Werte unter Preis zu bekommen. Klappt halt dann manchmal nicht.

  12. 12

    Erpressung wäre es doch eher, wenn Sie mit Schaden drohen. Ich hab letzte Woche auch einige Seiten auf Sicherheitslücken hingewiesen. Gekostet hat es nichts. Soll ich da jetzt anders machen?

  13. 13

    Naja ist ja mal wieder nichts neues. Ein Internet ohne Sicheheitslücken, wäre für mich kein Internet.

Diesen Artikel kommentieren