In der CSS3-Funktion Mix-Blend-Mode haben mehrere Sicherheitsforscher einen Seitenkanal gefunden, der in den Browsern Chrome und Firefox dazu genutzt werden konnte, Rückschlüsse auf die Inhalte von iFrames zu ziehen, die in bösartigen Webseiten eingebunden werden konnten.

Die Forscher Ruslan Habalov und Dario Weißer haben zur Demonstration des erfolgreichen Angriffs den Facebook-Namen, das Profilfoto sowie den Like-Status einer Webseite des Opfers ausgelesen, sofern dieses bei Facebook angemeldet gewesen ist.

Bereits im vergangenen Jahr wurde diese Sicherheitslücke an das Team des Chrome-Browsers gemeldet. Die Lücke hat die Kennung (CVE-2017-15417) und wurde bereits in Chrome 63, der Ende 2017 erschienen ist, behoben. Auch der Firefox-Browser war betroffen, der mit der aktuellen Version 60 ein Update zum Schließen der Lücke erhalten hat.

Der Internet Explorer, der Edge-Browser und Apple Safari-Browser sollen von der Lücke nicht betroffen sein, da diese die verwendete Funktion nicht unterstützen.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE