Ein Bug bei der Verarbeitung von Cascading Stylesheets (CSS) führte dazu, dass Daten über Benutzer in anderen Sitzungen in Chrome und Firefox abgerufen werden konnten.
Anzeige
Das Problem wurde bereits im März 2017 entdeckt, aber erst jetzt haben Sicherheitsforscher von Evonide den Angriffsvektor im Blog-Beitrag Side-channel attacking browsers through CSS3 features offen gelegt.
Die Angriffsmethode ist dabei sehr, sehr trickreich, in dem das CSS3-Feature mix-blend-mode missbraucht wird. Mit mehreren übereinander gestapelten DIV-Layern mit unterschiedlichen Blend-Modi könnten Angreifer in Chrome und Firefox beim rendern auf Inhalte dieser Layer mit Inline-Frames schließen. Mit etwas Rechenleistung ließen sich Pixel extrahieren und zu einem Bild kombinieren.
Auf diese Weise war es theoretisch möglich, Informationen des Nutzers aus Facebook abzuziehen, wenn der Benutzer dort angemeldet ist. Dieser Bug ist in Chrome seit Version 63 und in Firefox seit Ausgabe 60 gefixt. Auf dieser Testseite kann man das Ganze ausprobieren. Einige Informationen in deutscher Sprache finden sich z.B. hier bei heise.de.
Anzeige
Und wie funktioniert die Testseite? Ich bekomme damit nur den Text „Facebook Data Leak", ein paar Schaltbuttons und den seltsamen Text „Calibtrated threshold".
Einziger Unterschied je nach Browser ist die ms-Zeitangabe und die Farbe des Quadrats rechts oben in der Ecke: Beim IE grün, sonst schwarz. – Nichts, um mal schnell für den Hausgebrauch testen zu können, ob der Browser (hier: PaleMoon und Vivaldi) sicher ist.