Bonn, 9. September 2008. Unmittelbar nach Veröffentlichung der Beta-Version des neuen Browsers Google Chrome unterzog das BSI das Produkt einer ersten fachlichen Prüfung und hat insbesondere bereits bekannt gewordene Schwachstellen nachvollziehen können.
siehe milw0rm:
Google Chrome Browser 0.2.149.27 (SaveAs) Remote BOF Exploit
Google Chrome Browser 0.2.149.27 Inspect Element DoS Exploit
Google Chrome Browser 0.2.149.27 (1583) Remote Silent Crash PoC
Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability
Google Chrome Browser 0.2.149.27 Automatic File Download Exploit
arrrr, exploitz… oh veraltert
Bedenklich ist in diesem Zusammenhang, dass das Produkt als Beta-Version einer breiten Öffentlichkeit zur Verfügung gestellt wird, z. B. als Download-Link auf www.google.de, ohne dass auf die Eigenschaften von Beta-Versionen und bei deren Einsatz zu treffende Vorsichtsmaßnahmen hingewiesen wurde.
Beta-Versionen sollten grundsätzlich nicht für den allgemeinen Gebrauch eingesetzt werden. Hersteller stehen hier in der Verantwortung, potenziellen Nutzern entsprechende Hinweise zu geben. Diese Forderung gilt in gleicher Weise für alle Anbieter von Browsern, die Beta-Versionen zur Verfügung stellen, wie es derzeit zum Beispiel Google, Mozilla und Microsoft tun.
Argument zu ‘beta’ Software betrifft nicht alleine Chrome.
(Hey openssl 1.0 irgendwer?)
Aus Sicht der IT-Sicherheit ist ein ausreichender Wettbewerb bei Schlüsselkomponenten wie Browsern zu begrüßen. Technisch bietet Google Chrome vielversprechende Ansätze, wie die Isolierung einzelner Webseiten auf Prozessebene, wie dies in ähnlicher Weise auch von Microsoft für den Internet Explorer 8 vorgesehen ist.
Die Quelloffenheit von Google Chrome ermöglicht, ebenso wie beim Mozilla Firefox, eine Prüfung der sicherheitstechnischen Funktionen durch unabhängige Experten und kann somit zu einer Erhöhung des IT-Sicherheitsniveaus beitragen.
Zwei Argumente fuer chrome.
Grundsätzlich sollte Software, die nicht ausschließlich zu Testzwecken zur Verfügung gestellt wird, ausreichend getestet und geprüft sein.
Whatever.
Daten werden gesendet
Wer in der Searchbar Google als Suchmaschine mit Auto-Vervollstaedigung eingetragen hat sendet seine Eingabe an Google. Unabhaengig vom Browser (firefox/chrome). Hallo? Wie soll das sonst funktionieren?
Wer Schutz vor Phishing will, muss seine Seiten mit irgendwem abgleichen. Gibt es neben google safebrowsing andere kostenlosen Dienste?
In Zukunft wird das nicht weniger: siehe zurueckgezogene SSL Zertifikate. (Ohja, sag jedesmal Verizon Bescheid wenn ich Online Banking machen will…)
Und dann wollen wir nicht vergessen das alle aufgerufene Seiten bei den eingetragenen DNS Servern geloggt werden koennen. Aber naja, Google hat eine funktionierende Suchmaschine, sowas sollte einem schon Angst machen.
Hach altavista, warum? (boah wie ich yahoo hasse…)
Posted by kodos 
