HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

 

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 
 
 

   

 

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

 

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

 

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

   

Neue Versionen: 

 

147.0.7727.101/102 for Windows/Mac    

147.0.7727.101  for Linux

147.0.7727.101 for Android

147.0.7727.99 für iOS (verwendet andere Libs, ist eher von den Lücken im macOS/iOS usw. betroffen, wenn überhaupt)

 

Chromium Debian: 

 

bookworm (security)147.0.7727.55-1~deb12u1 offen

trixie (security)147.0.7727.55-1~deb13u1 offen

forky147.0.7727.55-1 offen

sid147.0.7727.101-1


 

Was ist passiert?

 

Wieder sehr viele Lücken (31). Davon sind 5 kritisch, können also ausgenutzt werden, um ein Schadprogramm ohne Interaktion mit den Anwendern auszuführen. Aber bisher scheint keine offiziell ausgenutzt worden zu sein. 

 

Die kritischen Lücken:

 

ANGLE (CVE-2026-6296): Das ist die Schicht, die WebGL-Befehle für die Grafikkarte übersetzt. Hier gab es einen Heap Buffer Overflow. Ein Angreifer könnte also über eine präparierte Website versuchen, Schadcode direkt über die Grafikbeschleunigung einschleusen. (Belohnung: 90.000 $).

 

Proxy (CVE-2026-6297): Ein Use-after-free Fehler. Da der Proxy-Dienst den gesamten Datenverkehr leitet, ist eine Lücke hier besonders heikel, weil sie die grundlegende Netzwerk-Isolation des Browsers angreifen kann.

 

Skia (CVE-2026-6298): Die Grafik-Engine, die alles zeichnet, was man sieht (Text, Bilder). Da Skia quasi alles anfasst, was vom Webserver kommt, ist ein Speicherfehler hier ein "Eintrittsticket" für Remotecode-Ausführung.

 

Prerender (CVE-2026-6299): Das ist die Funktion, die Seiten schon im Hintergrund lädt, bevor man überhaupt draufklickt. Die Ironie: Ein Sicherheitsfeature, das das Surfen schneller machen soll, ermöglichte hier einen Angriff, noch bevor die Seite aktiv war.

 

XR (CVE-2026-6358): Das betrifft die Schnittstellen für VR/AR (Extended Reality). Auch hier wieder ein Speicherfehler (Use-after-free), der durch Forscher der Seoul National University entdeckt wurde.

 

Wieso auf einmal so viele Sicherheitslücken? Google baut den Unterbau des Browsers um, d.h., viele neue Technologien kommen zum Einsatz, die eben Lücken aufweisen können. Ansonsten ist es so, dass Hacker und Forscher immer stärker mit neuen Hilfsmitteln, z.B. KI, nach Lücken suchen. Dadurch werden diese "Jäger" immer effizienter und finden sogar Lücken, die bereits seit Jahren übersehen worden sein könnten. 

 

Jetzt die Beruhigungspille: Der Chrome ist einer der Browser, der weltweit sehr häufig verwendet wird. Auch deswegen setzen sich viele "Jäger" beim Chrome ran und suchen nach Lücken (zudem wird es bezahlt). Sogar Entwickler von Microsoft müssen da mal reinschauen. Ergo: Man entdeckt immer wieder mal Lücken, die schnell geschlossen werden können. Ansonsten verfügt der Chrome über eine "Sandbox". Diese "Sandbox" trennt die Komponenten des Browser vom restlichen System. Selbst wenn eine Lücke ausgenutzt wird, dann muss nicht selten noch die "Sandbox" überwunden werden.  Trotzdem das Update schnellstmöglich einspielen...

 

 

Microsoft Edge und Opera sind vielleicht ebenfalls betroffen.

 

Was tun?

 

Installiert das Update! 

 

Das Opfer muss auf eine manipulierte Webseite gelockt werden oder möglicherweise eine manipulierte Chromium/Chrome-App installieren (eigentlich sind das Erweiterungen, siehe Blogeintrag dazu, aber ich hänge irgendwie an dem Wort „App“ fest).

 

V8 ist die Skript-Engine des Browsers. Wenn auf einer Webseite einige interessante Funktionen bereitgestellt werden, wird wahrscheinlich die Skript-Engine verwendet. In den Einstellungen des Webbrowsers gibt es eine Option zur V8-Engine. Über diese Einstellung kann die Nutzung der V8-Engine eingeschränkt werden.

 

Der Nachteil: Umfangreiche Anwendungen mit moderner Skripttechnik funktionieren dann nicht mehr richtig und der Browser wird langsamer. Ihr findet die Option unter „Datenschutz“ > „Sicherheit“ > „V8-Sicherheitsoptionen“.

 

Es ist auch möglich, V8 vollständig zu deaktivieren, aber dann funktionieren 90 % der Webseiten nicht mehr.

 

Warum werden nicht alle Sicherheitslücken von Chrome/Chromium offengelegt? Die Begründung des Chrome/Chromium-Projekts lautet: Das Update muss zunächst bereitgestellt werden, und die Nutzer müssen die Möglichkeit haben, es zu installieren oder davon Kenntnis zu erlangen. Das kann einige Zeit in Anspruch nehmen. Außerdem müssen manchmal externe Komponenten von anderen Entwicklern angepasst werden, was ebenfalls Zeit benötigt.

 

Mozilla Firefox, Opera, Microsoft und Apple verfolgen eine ähnliche Offenlegungspolitik.