Comodos „sicherer“ Browser Chromodo gefährdet Internetnutzer

Er hebelt laut Google-Sicherheitsforscher Tavis Ormandy die Same-Origin-Policy aus, eine zentrale Schutzmaßnahme moderner Browser. Dadurch bewegt sich der Nutzer praktisch ungeschützt durchs Web. Chromodo wird automatisch bei der Installation von Comodo Internet Security als Standardbrowser eingerichtet.

Sicherheitsforscher Tavis Ormandy warnt vor der Nutzung des auf dem Chromium-Projekt basierenden Browsers Chromodo. Das zusammen mit der Internet Security Suite des Anbieters Comodo automatisch als Standardbrowser installierte Programm hebelt ihm zufolge zentrale Schutzmaßnahmen aus, so dass Nutzer sich praktisch ungeschützt im Internet bewegen.

Chromodo (Bild: Comodo)Konkret deaktiviert Chromodo die sogenannte Same-Origin-Policy. Dieses wesentliche Sicherheitskonzept moderner Browser untersagt etwa clientseitigen Skriptsprachen wie JavaScript, auf Objekte wie Grafiken zuzugreifen, die von einer anderen Webseite stammen oder deren Speicherort nicht der Ursprungsquelle entspricht. Durch die Missachtung der Same-Origin-Policy wird der Browser und damit der Rechner des Nutzers zu einem leichten Ziel für Angriffe und Exploits.

Darüber hinaus importiert der von Comodo als besonders sicher beworbene Browser unter anderem alle Links, Einstellungen und Cookies von Chrome. „Zu anderen schäbigen Praktiken zählt auch das Entführen von DNS-Einstellungen“, merkt Ormandy an.

Auf seine Hinweise zu der schwerwiegenden Sicherheitslücke habe Comodo zunächst nicht reagiert, führt der zu Googles Project-Zero-Team gehörene Sicherheitsforscher weiter aus. Später versprach es einen Hotfix innerhalb eines Tages und weitere Fixes innerhalb der nächsten Wochen. Gestern entfernte der Hersteller dann aber lediglich die „execCode“-API, die Ormandy für seinen Demo-Exploit genutzt hatte. „Das ist offensichtlich ein inkorrekter Fix und eine simple Änderung erlaubt weiterhin das Ausnutzen der Schwachstelle“, urteilt der Sicherheitsforscher.

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

Ormandy hatte zuvor schon Sicherheitslücken in Programmen anderer Sicherheitsanbieter aufgedeckt. Dazu zählten Produkte von AVG, Kaspersky, FireEye, Trend Micro, ESET, Sophos und zuletzt auch Malwarebytes.

Der Chromodo-Anbieter Comodo war vor knapp einem Jahr negativ aufgefallen, weil ein von ihm verbreitetes Browser-Plug-in die Validierung von SSL-Zertifikaten aushebelte. Die mit den Comodo-Programmen Dragon und Internet Security vertriebene Erweiterung PrivDog griff in die verschlüsselte Verbindung zweier Computer ein. Dafür installierte es ein Stammzertifikat und ersetzte zudem andere Zertifikate – auch wenn diese nicht gültig waren. Dadurch war eine sichere Kommunikation nicht mehr gewährleistet.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Browser, Comodo, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Comodos „sicherer“ Browser Chromodo gefährdet Internetnutzer

Kommentar hinzufügen
  • Am 4. Februar 2016 um 0:00 von Judas Ischias

    Tja, so viel zum Thema sicher oder sicherer.
    Sollte hier mal dem ein oder anderen Foristen zu denken geben, was für ein leichtfertiger Gebrauch bei diesen Wörtern möglich ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *