StreitStrategie
Well-known member
Ein Sicherheitsforscher namens Jose Pino hat eine katastrophale Sicherheitslücke in der Verwendung von Chromium-basierten Webbrowsern entdeckt, die es ermöglicht, einen Browser innerhalb von Sekunden zum Absturz zu bringen. Brash, wie der Angriff heißt, betrifft effektiv Milliarden von IT-Systemen und hat katastrophale Folgen für den Nutzer.
Laut Pino liegt die Ursache des Brashes in der Architektur von Googles Rendering-Engine Blink. Die Sicherheitslücke entsteht durch das völlige Fehlen einer Ratenbegrenzung bei Aktualisierungen der document.title-API, wodurch es möglich ist, jede Sekunde Millionen von DOM-Operationen zu triggern und damit den Hauptthread des Browsers zu überlasten. Dies führt innerhalb von 15 bis 30 Sekunden zum Absturz des Browsers.
Pino hat den Angriff mit allen gängigen Webbrowsern unter Windows, Linux und MacOS getestet und konnte dabei reproduzieren, dass Chrome, Edge, Brave, Opera und Vivaldi alle innerhalb weniger Sekunden zum Absturz gebracht werden können. Firefox oder Webkit-basierte Browser wie Safari sind jedoch immun gegen Brash.
Interessierte können den Angriff über eine von Pino bereitgestellte Webseite testen, alternativ kann der Exploit auch lokal getestet werden. Es ist jedoch wichtig zu beachten, dass ungespeicherte Arbeit auf dem Testsystem verloren gehen kann und der Browser innerhalb kürzester Zeit unbedienbar wird. Der Browser lässt sich aber jederzeit über den Task-Manager vorzeitig beenden.
Die Entdeckung von Brash zeigt auch, warum Sicherheitslücken so gefährlich sein können. Schon der bloße Besuch einer verdächtigen Webseite kann beim Nutzer des Browsers zu einer unerwarteten Arbeitsunterbrechung sowie im schlimmsten Fall zu einem Datenverlust führen.
Wann Google für die Sicherheitslücke einen Patch bereitstellt, ist noch unklar. Die übrigen Browserhersteller dürfen hier auf Googles Korrektur angewiesen sein und warten, bis ein Update für Chromium den Fehler behebt.
Laut Pino liegt die Ursache des Brashes in der Architektur von Googles Rendering-Engine Blink. Die Sicherheitslücke entsteht durch das völlige Fehlen einer Ratenbegrenzung bei Aktualisierungen der document.title-API, wodurch es möglich ist, jede Sekunde Millionen von DOM-Operationen zu triggern und damit den Hauptthread des Browsers zu überlasten. Dies führt innerhalb von 15 bis 30 Sekunden zum Absturz des Browsers.
Pino hat den Angriff mit allen gängigen Webbrowsern unter Windows, Linux und MacOS getestet und konnte dabei reproduzieren, dass Chrome, Edge, Brave, Opera und Vivaldi alle innerhalb weniger Sekunden zum Absturz gebracht werden können. Firefox oder Webkit-basierte Browser wie Safari sind jedoch immun gegen Brash.
Interessierte können den Angriff über eine von Pino bereitgestellte Webseite testen, alternativ kann der Exploit auch lokal getestet werden. Es ist jedoch wichtig zu beachten, dass ungespeicherte Arbeit auf dem Testsystem verloren gehen kann und der Browser innerhalb kürzester Zeit unbedienbar wird. Der Browser lässt sich aber jederzeit über den Task-Manager vorzeitig beenden.
Die Entdeckung von Brash zeigt auch, warum Sicherheitslücken so gefährlich sein können. Schon der bloße Besuch einer verdächtigen Webseite kann beim Nutzer des Browsers zu einer unerwarteten Arbeitsunterbrechung sowie im schlimmsten Fall zu einem Datenverlust führen.
Wann Google für die Sicherheitslücke einen Patch bereitstellt, ist noch unklar. Die übrigen Browserhersteller dürfen hier auf Googles Korrektur angewiesen sein und warten, bis ein Update für Chromium den Fehler behebt.
. Eine Sicherheitslücke, die sogar Chrome und Edge ausfallen lässt? Das ist einfach unverständlich! 
Google muss wirklich mal wieder seine Prioritäten überprüfen. Ich hoffe, dass sie bald einen Patch bereitstellen, bevor es noch mehr Leute betroffen sind. Und was mit den anderen Browsernherstellern? Soll man schon auf ihre Korrektur angewiesen sein? Nein danke! 
Aber man muss auch bedenken, dass Googles Rendering-Engine Blink so verbreitet ist, dass es nur ein Schlag nach dem anderen sein wird. Ich hoffe, Google macht schnell einen Patch bereit, um die Sicherheitslücke zu schließen. 
Es wäre ja noch besser, wenn sie auch eine Lösung für das Problem bieten könnten, damit Benutzer nicht ständig Angst haben müssen, dass ihre Browser abkraken! 
. Ich meine, 15-30 Sekunden zum Absturz, das ist nicht so schlimm, oder? Die anderen Browserhersteller müssen ja immer erst warten, bis Google die korrekte Lösung entwickelt hat, bevor sie sich auch nur daran denken können 
.
.
Ich erinnere mich noch gut an die letzte Sicherheitslücke in Windows... wie war es noch mal? 
Nein, egal. Der Punkt ist, dass es schon wieder passiert ist und Google offensichtlich nicht so schnell auf die Sicherheit seiner Browser achten kann. 
Jedenfalls, wenn man so viele Menschen wie 15 Sekunden braucht, um einen Browser zum Absturz zu bringen, dann ist das doch nicht gerade der beste Start für eine Sicherheitslücke. 
Das zeigt uns, dass es noch Leute gibt, die sich um die Sicherheit im Internet kümmern. 
. Und dass Firefox und Safari immun gegen Brash sind? Das ist ja nur noch ein Zeichen dafür, dass es hier um eine sehr ernsthafte Sicherheitslücke geht 
. Ich hoffe, Google weißt, wie man das richtig macht und löst diese Lücke schnellstmöglich!
Google braucht schon mal einen Löffel aus Stein, um so eine Sicherheitslücke zu finden? Die Architektur von Blink ist doch seit Jahren unter Diskussion stehen und es soll immer noch ein Problem sein?