Security: Browser verrieten Nutzdaten via CSS

Eine eklatante Lücke in CSS erlaubte es Angreifern, persönliche Informationen (nicht nur) von Facebook-Nutzern abzugreifen. Betroffen waren Nutzer der Browser Firefox und Chrome.

Silvio Werner, Veröffentlicht am 01.06.2018

Security Software

Über ein Jahr lang konnten Angreifer Medienberichten die von Nutzern auf Facebook hinterlegten Profilnamen, Profilbilder und Likes abgreifen, wenn diese eine manipulierte Internetseite besuchten. Möglich war diese Art des Angriffs durch eine Sicherheitslücke in der Stylesheet-Sprache CSS und lediglich, wenn der Nutzer den Chrome- oder Firefox-Browser nutzte.

Konkret konnten Angreifer den 2016 in CSS eingeführten Mix-Blend-Modus ausnutzen. Normalerweise kann eine Internetseite per iFrame eingebundene Inhalte nicht sehen, allerdings war es möglich, dieses Sicherheitsfeature mithilfe des Mix-Blend-Features auszuhebeln. Somit konnte auf eine manipulierte Seite der Like-Button eingebunden werden, um Nutzerdaten von Facebook abzugreifen, wenn der Nutzer auch bei Facebook eingeloggt war.

Der Angriff ist bereits seit letztem Jahr in dieser Form nicht mehr durchführbar, da Chrome und Firefox entsprechend aktualisiert wurden.

Quelle(n)

arstechnica.com/information-technology/2018/05/chrome-and-firefox-leaks-let-sites-steal-visitors-facebook-names-profile-pics/

Verwandte Artikel

MikroTik: Hunderttausende Router von Schadsoftware befallen 06.12.2018

macOS Mojave über kritische Sicherheitsheitslücke angreifbar (Bild: Apple)

macOS Mojave über kritische Sicherheitsheitslücke angreifbar 25.09.2018

43 Milliarden Euro Schaden: Attacken betreffen 7 von 10 Industrieunternehmen (Symbolbild)

43 Milliarden Euro Schaden: Attacken betreffen 7 von 10 Industrieunternehmen 14.09.2018

Microsoft torpediert Installation von alternativen Browsern (Bild: Screenshot, Sean Hoffman)

Microsoft torpediert Installation von alternativen Browsern 12.09.2018

Tor Browser im Play Store erhältlich (Bild: Tor)

Tor Browser im Play Store erhältlich 08.09.2018

Security: Router schnüffeln Nutzer aus und minen Kryptowährungen (Symbolbild, MikroTik)

Security: Router schnüffeln Nutzer aus und minen Kryptowährungen 06.09.2018

Mega: Erweiterung gehackt, Nutzerdaten im großen Umfang gestohlen (Bild: Mega)

Mega: Erweiterung gehackt, Nutzerdaten im großen Umfang gestohlen 06.09.2018

Chrome wird 10 Jahre und dominiert den Browser-Markt (Browser)

Chrome wird 10 Jahre und dominiert den Browser-Markt 04.09.2018

Security: Ultraschall von Monitor-Netzteil verrät Bildinhalte (Symbolfoto)

Security: Ultraschall von Monitor-Netzteil verrät Bildinhalte 24.08.2018

Firmennetzwerke lassen sich mit manipulierten Fax-Nachrichten infiltrieren (Symbolfoto)

Firmennetzwerke lassen sich mit manipulierten Fax-Nachrichten infiltrieren 13.08.2018

Zahlreiche Play Store Apps waren mit Windows-Malware verseucht (Symbolfoto)

Zahlreiche Play Store Apps waren mit Windows-Malware verseucht 08.08.2018

Deutsche Unternehmen sind schlecht gegen Cyberangriffe gerüstet (Symbolfoto)

Deutsche Unternehmen sind schlecht gegen Cyberangriffe gerüstet 23.07.2018

Sicherheit: Jeder vierte Router ist anfällig für Angriffe (Symbolfoto)

Sicherheit: Jeder vierte Router ist anfällig für Angriffe 20.07.2018

Chrome warnt in Zukunft vor Webseiten mit hohem Datenverbrauch 18.07.2018

Chrome ist ab sofort durch Site Isolation sicherer und braucht mehr RAM (Bild: Google)

Chrome ist ab sofort durch Site Isolation sicherer und braucht mehr RAM 12.07.2018

Security: Malware mit gültigen D-Link-Zertifikat im Umlauf 10.07.2018

Security: VLC Media Player ist angreifbar 09.07.2018

Hackerangriff: DomainFactory bestätigt Sicherheitslücke nun doch, sensible Kundendaten gestohlen (Symbolfoto)

Hackerangriff: DomainFactory bestätigt Sicherheitslücke nun doch, sensible Kundendaten gestohlen 08.07.2018

Security: Browser-Erweiterung spioniert Nutzer aus (Symbolfoto)

Security: Browser-Erweiterung spioniert Nutzer aus 07.07.2018

Security: Passwörter lassen sich durch Fingerwärme ausspionieren (Symbolfoto)

Security: Passwörter lassen sich durch Fingerwärme ausspionieren 06.07.2018

Keepsafe bietet neuen iOS- und Android-Browser mit Privatsphäre-Fokus an 20.06.2018

Security: Google-Geräte verraten Standort 19.06.2018

Security: Malware befällt Fire TV 12.06.2018

VPNFilter-Botnetz wird gefährlicher (Symbolfoto)

VPNFilter-Botnetz wird gefährlicher 07.06.2018

F-Secure: Sicherheitssoftware hat eine kritische Lücke 05.06.2018

Security: VPN-Dienste verkaufen Nutzer-Daten 29.05.2018

Security: Backdoor in D-Link-Routern gefunden, Fix ist unwahrscheinlich (Bild: D-Link)

Security: Backdoor in D-Link-Routern gefunden, Fix ist unwahrscheinlich 28.05.2018

Security: IP-Kamera-Besitzer sollen Passwort ändern 27.05.2018

Hunderte Android-Smartphone-Modelle kommen mit vorinstallierter Malware, auch ZTE und Archos betroffen (Bild: Avast)

Hunderte Android-Smartphone-Modelle kommen mit vorinstallierter Malware, auch ZTE und Archos betroffen 26.05.2018

Security: Talos Cisco entdeckt riesiges Botnetz 24.05.2018

Wegen DSGVO: Instapaper stellt Europa-Betrieb ein 24.05.2018

Homebrew-Fans aufgepasst: Nintendo sperrt gehackte Switch-Konsolen (Bild: Shiny Quagsire)

Homebrew-Fans aufgepasst: Nintendo sperrt gehackte Switch-Konsolen 23.05.2018

Security: Zehntausende Apple IDs mit Passwort im Klartext geleaked 21.05.2018

Cisco-Systeme schon wieder angreifbar (Symbolfoto)

Cisco-Systeme schon wieder angreifbar 19.05.2018

Security: Chrome markiert HTTTS-Verbindungen nicht mehr (Bild: Google)

Security: Chrome markiert https-Verbindungen nicht mehr 18.05.2018

Security: Millionen iOS-Geräte sollen durch Programmierfehler angreifbar sein, auch Android betroffen 17.05.2018

iOS-Apps geben Standortdaten an Dritte weiter, Apple prüft nicht systematisch 17.05.2018

Kaspersky: Datenspeicherung und Entwicklung bald in der Schweiz, Verbot in den Niederlanden (Bild: Kaspersky)

Kaspersky: Datenspeicherung und Entwicklung bald in der Schweiz, Verbot in den Niederlanden 15.05.2018

Loading Comments

Diesen Artikel kommentieren / Antworten

Urteil: Samsung wird nicht zu Andro...

Cortex-A76: ARM stellt neuen Prozes...

Silvio Werner - Senior Tech Writer - 10130 Artikel auf Notebookcheck veröffentlicht seit 2017

Ich bin seit über zehn Jahren journalistisch aktiv, den Großteil davon im Bereich Technologie. Dabei war ich unter anderem für Tom's Hardware und ComputerBase tätig und bin es seit 2017 auch für Notebookcheck. Mein aktueller Fokus liegt insbesondere auf Mini-PCs und auf Einplatinenrechnern wie dem Raspberry Pi – also kompakten Systemen mit vielen Möglichkeiten. Dazu kommt ein Faible für alle Arten von Wearables und insbesondere für Smartwatches. Hauptberuflich bin ich als Laboringenieur unterwegs, weshalb mir weder naturwissenschaftliche Zusammenhänge noch die Interpretation komplexer Messungen fern liegen.

Kontakt: silvio39191, LinkedIn

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2018-06 > Security: Browser verrieten Nutzdaten via CSS

Autor: Silvio Werner, 1.06.2018 (Update: 19.05.2020)