Browser Chromodo ist ein Sicherheitsdesaster

(Bild: Comodo)

Comodo bietet unter dem Namen Chromodo einen Browser an, der angeblich besonders sicher ist. Das Gegenteil ist der Fall, wie Forscher Tavis Ormandy herausgefunden hat. Er warnt vor dem Einsatz des Browsers, der den Anwender nahezu ungeschützt lässt.

Wer einen sicheren Browser benutzen will, sollte bloß die Finger von Chromodo lassen, schreibt Tavis Ormandy. Der Browser wird zusammen mit der Internet Security Suite des Anbieters Comodo als Standardbrowser eingerichtet. Er soll aber unabsichtlich wichtige Schutzmaßnahmen aushebeln.

Chromodo deaktiviert nach Angaben von Ormandy die Same-Origin-Policy. Dieses Sicherheitskonzept moderner Browser untersagt etwa clientseitigen Skriptsprachen wie JavaScript, auf Objekte wie Grafiken zuzugreifen, die von einer anderen Webseite stammen oder deren Speicherort nicht der Ursprungsquelle entspricht. Durch die Missachtung der Same-Origin-Policy wird der Browser und damit der Rechner des Nutzers zu einem leichten Ziel für Angriffe und Exploits.

Darüber hinaus importiert der von Comodo als besonders sicher beworbene Browser unter anderem alle Links, Einstellungen und Cookies von Chrome. „Zu anderen schäbigen Praktiken zählt auch das Entführen von DNS-Einstellungen“, merkt Ormandy an.

Auf seine Hinweise zu der schwerwiegenden Sicherheitslücke habe Comodo zunächst nicht reagiert, führt der zu Googles Project-Zero-Team gehörene Sicherheitsforscher weiter aus. Später versprach es einen Hotfix innerhalb eines Tages und weitere Fixes innerhalb der nächsten Wochen. Gestern entfernte der Hersteller dann aber lediglich die „execCode“-API, die Ormandy für seinen Demo-Exploit genutzt hatte. „Das ist offensichtlich ein inkorrekter Fix und eine simple Änderung erlaubt weiterhin das Ausnutzen der Schwachstelle“, urteilt der Sicherheitsforscher.

Ormandy hatte zuvor schon Sicherheitslücken in Programmen anderer Sicherheitsanbieter aufgedeckt. Dazu zählten Produkte von AVG, Kaspersky, FireEye, Trend Micro, ESET, Sophos und zuletzt auch Malwarebytes.

Der Chromodo-Anbieter Comodo war vor knapp einem Jahr negativ aufgefallen, weil ein von ihm verbreitetes Browser-Plug-in die Validierung von SSL-Zertifikaten aushebelte. Die mit den Comodo-Programmen Dragon und Internet Security vertriebene Erweiterung PrivDog griff in die verschlüsselte Verbindung zweier Computer ein. Dafür installierte es ein Stammzertifikat und ersetzte zudem andere Zertifikate – auch wenn diese nicht gültig waren. Dadurch war eine sichere Kommunikation nicht mehr gewährleistet.

Tags :Quellen:Mit Material von Björn Greif, ZDnet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising