Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Firefox-Browser, da dieser als einziger den Mindeststandard „Sichere Web-Browser“ erfüllt. Dies wurde in einer Studie festgestellt, in der verschiedene Browser wie Chrome, Internet Explorer und Edge geprüft wurden. Firefox war der einzige Browser, der alle Mindestanforderungen für obligatorische Sicherheitsfunktionen erfüllte.
Die Mindeststandards für sichere Web-Browser wurden vom BSI überarbeitet, um Sicherheitsanforderungen an Web-Browser festzulegen, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Von den betrachteten Browsern erfüllte nur Firefox ESR die gesetzten Mindeststandards ohne zusätzliche Maßnahmen.
Browser wie MS Edge und Chrome erlaubten z.B. nicht Encrypted Media Extensions (EME) zu deaktivieren. EME sind eine Technologie, die es ermöglicht, verschlüsselte Medieninhalte wie Videos in Webbrowsern abzuspielen. EME selbst ist keine Sicherheitslücke, sondern vielmehr ein Mechanismus, der in Webbrowsern implementiert wurde, um die Bereitstellung von geschützten Inhalten zu ermöglichen, während gleichzeitig digitale Rechteverwaltung (DRM) angewendet wird. EME und DRM können zu einem Verlust der Kontrolle über Inhalte führen, die Benutzer auf ihren eigenen Geräten konsumieren. Dies kann die Privatsphäre der Benutzer beeinträchtigen und sie davon abhalten, ihre eigenen Inhalte frei zu verwenden oder zu modifizieren und werden daher vom BSI als problematisch beschrieben.
Ferner fand das BSI beim Microsoft Edge Browser, dass die automatische Übermittlung von Telemetriedaten an Microsoft nur bei gewissen Enterprise Versionen von Windows deaktivierbar ist, was generell mit dem Datenschutz nach DSGVO ein Problem darstellt, da der User nicht verhindern kann, dass seine personenbezogenen Daten von Microsoft verarbeitet werden.
Bei Chrome, wie auch bei MS Edge wurde ferner bemängelt, dass OSCP und CLS standardmäßig deaktiviert sind. Online-OCSP- und CRL-Prüfungen sind Mechanismen, die in SSL/TLS-Zertifikaten verwendet werden, um deren Gültigkeit zu überprüfen. OCSP steht für „Online Certificate Status Protocol“ und CRL für „Certificate Revocation List„. Beide dienen dazu, sicherzustellen, dass ein Zertifikat noch gültig ist und nicht zurückgezogen wurde.
Speziell Chrome und MS Edge zeigten darüber hinaus nicht deutlich genug an, dass eine Webseite Mixed-Content enthält. Wenn eine Webseite Mixed Content enthält, bedeutet das, dass sowohl sichere (HTTPS) als auch unsichere (HTTP) Inhalte auf derselben Seite geladen werden. Dies kann zu Sicherheitsrisiken führen, da unsichere Inhalte potenziell von Angreifern manipuliert werden könnten, um auf vertrauliche Informationen zuzugreifen oder die Integrität der Seite zu gefährden.
Vor allem mobile Browser zeigten sich anfällig für besonders die besonders gefährliche Stack Smashing Technik. „Stack Smashing“ bezieht sich auf eine Art von Sicherheitslücke, die auftritt, wenn ein Programm über die Grenzen eines festen Puffers im Stapels schreibt, was potenziell zu einem Absturz oder einer Ausnutzung des Programms führen kann. Diese Art von Schwachstelle kann von Angreifern ausgenutzt werden, um beliebigen Code auszuführen oder die Kontrolle über das betroffene System zu erlangen. Ein Beispiel dafür ist die 2023 in Chromes WebRTC gefundene Schwachstelle CVE-2023-7024.
Webbrowser sind komplexe Softwareanwendungen, die eine Vielzahl von Aufgaben bewältigen, darunter das Analysieren und Darstellen von Webseiten, das Ausführen von JavaScript-Code, das Verwalten von Benutzeroberflächen und die Behandlung von Netzwerkkommunikation. Aufgrund ihrer Komplexität und der breiten Palette von Eingaben, die sie aus dem Web erhalten, sind Webbrowser anfällig für verschiedene Arten von Sicherheitslücken, einschließlich Stack Smashing.
Im Zusammenhang mit Webbrowsern können Stack-Smashing-Sicherheitslücken auf verschiedene Weise ausgenutzt werden, z. B. durch das Erstellen bösartiger Webseiten oder das Einschleusen von bösartigem Code in legitime Webseiten. Angreifer können diese Schwachstellen ausnutzen, um beliebigen Code im Kontext des Browsers auszuführen, was möglicherweise zu weiteren Angriffen oder zur Kompromittierung des Systems führt.
Um das Risiko von Stack-Smashing-Schwachstellen und anderen Sicherheitsproblemen zu verringern, setzen Browser-Hersteller verschiedene Sicherheitsmaßnahmen ein, darunter Code-Reviews, Fuzz-Tests und die Implementierung von Exploit-Mitigationen wie Stack-Canaries und Address Space Layout Randomization (ASLR). Darüber hinaus ist eine zeitnahe Patchung bekannter Schwachstellen entscheidend, um Benutzer vor Ausnutzung zu schützen.
Benutzer können auch ihre Sicherheitslage verbessern, indem sie ihre Webbrowser auf dem neuesten Stand halten, Browser-Erweiterungen oder -Plugins verwenden, die zusätzliche Sicherheitsfunktionen bieten, und beim Surfen im Web Vorsicht walten lassen, insbesondere beim Besuch von unbekannten oder verdächtigen Websites. Darüber hinaus können die Anwendung bewährter Sicherheitspraktiken wie die Verwendung starker, eindeutiger Passwörter und die Aktivierung der Zwei-Faktor-Authentifizierung dazu beitragen, die Auswirkungen möglicher Sicherheitsvorfälle zu verringern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: