“Sicherer Browser” Chromodo offenbar unsicherer als normale Browser

SicherheitSicherheitsmanagement
Security (Bild: Shutterstock/voyager624)

Dem bei Google tätigen Sicherheitsforscher Tavis Ormandy zufolge hebelt der von Comodo angebotene “sichere Browser” die Same-Origin-Policy aus. Ohne diese zentrale Schutzmaßnahme moderner Browser. seien Nutzer “praktisch ungeschützt” im Web unterwegs. Chromodo ist Teil des Softwarepakets Comodo Internet Security und wird bei dessen Installation automatisch als Standardbrowser eingerichtet.

Der auf dem Chromium-Projekt basierende Browser Chromodo hält offenbar bei weitem nicht, was er Nutzern in Bezug auf Sicherheit verspricht. Davor hat jetzt der Google-Sicherheitsforscher Tavis Ormandy gewarnt. Ihm zufolge macht das zusammen mit der Internet Security Suite von Comodo automatisch als Standardbrowser installierte Programm zentrale Schutzmaßnahmen unwirksam. Dadurch seien seine Nutzer “praktisch ungeschützt” im Web unterwegs.

Laut ormandy deaktiviert Chromodo die sogenannte Same-Origin-Policy. Damit wird etwa clientseitigen Skriptsprachen wie JavaScript untersagt, auf Objekte, etwa Grafiken, zuzugreifen, die von einer anderen als der gerade besuchten Webseite stammen oder deren Speicherort von der Ursprungsquelle abweicht. Indme er die Same-Origin-Policy nicht beachtet, ist der Comodo-Browser und damit der Rechner seiner Nutzer ein leichtes Ziel für Angriffe und Exploits.

Auf Hinweise zu der Sicherheitslücke habe Comodo zunächst nicht reagiert, führt der bei Googles Project-Zero-Team beschäftigte Sicherheitsforscher aus. Später habe der Hersteller einen Hotfix innerhalb eines Tages und weitere Fixes innerhalb der nächsten Wochen versprochen. Er entfernte dann daber lediglich die “execCode”-API, die Ormandy für seinen Demo-Exploit genutzt hatte. “Das ist offensichtlich ein inkorrekter Fix und eine simple Änderung erlaubt weiterhin das Ausnutzen der Schwachstelle”, so der Sicherheitsforscher.

Comodo war vor knapp einem Jahr unangenehm aufgefallen, weil ein von ihm bereitgestelltes Browser-Plug-in die Validierung von SSL-Zertifikaten aushebelte. Die Erweiterung PrivDog, die zusammen mit den Comodo-Programmen Dragon und Internet Security verteilt wurde, griff in die verschlüsselte Verbindung zwischen zwei Computern ein. Es installierte dafür ein Stammzertifikat und ersetzte andere, auch gültige, Zertifikate. Dadurch war keine sichere Kommunikation mehr gewährleistet.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen