Eine „große“ Sicherheitslücke im Google Chrome-Webbrowser sowie in Chromium-basierten Alternativen könnte es bösartigen Webseiten ermöglichen, Inhalte der Zwischenablage automatisch zu überschreiben, ohne dass eine Zustimmung oder Interaktion des Nutzers erforderlich ist, indem er sie einfach besucht.
Der Angriff auf die Zwischenablage wurde nach Angaben des Entwicklers Jeff Johnson versehentlich in Chrome Version 104 eingeführt.
Das Problem besteht zwar auch in Apple Safari und Mozilla Firefox, aber in Chrome ist es besonders schwerwiegend, weil die Voraussetzung für das Kopieren von Inhalten in die Zwischenablage durch eine Geste des Nutzers nicht mehr gegeben ist.
Zu den Benutzergesten gehören das Markieren eines Textes und das Drücken von Strg+C (oder ⌘-C für macOS) oder die Auswahl von „Kopieren“ aus dem Kontextmenü.
„Eine so harmlose Geste wie das Klicken auf einen Link oder das Drücken der Pfeiltaste, um auf der Seite nach unten zu scrollen, gibt der Website also die Erlaubnis, deine Zwischenablage zu überschreiben“, so Johnson.
Die Möglichkeit, Daten in der Zwischenablage zu ersetzen, hat Auswirkungen auf die Sicherheit. In einem hypothetischen Angriffsszenario könnte ein Angreifer ein Opfer dazu verleiten, eine betrügerische Landing Page zu besuchen und die Adresse einer Kryptowährungs-Wallet, die zuvor von der Zielperson kopiert wurde, mit einer unter seiner Kontrolle stehenden zu überschreiben, was zu unerlaubten Geldtransfers führt.
Alternativ könnten die Bedrohungsakteure die Zwischenablage mit einem Link zu speziell gestalteten Websites überschreiben und die Opfer so zum Download gefährlicher Software verleiten.
„Während du auf einer Webseite navigierst, kann die Seite ohne dein Wissen den aktuellen Inhalt deiner Zwischenablage löschen, der für dich wertvoll gewesen sein könnte, und ihn durch alles ersetzen, was die Seite will, was für dich beim nächsten Einfügen gefährlich sein könnte“, erklärt Johnson.
Google ist sich des Problems bereits bewusst und es wird erwartet, dass bald ein Patch veröffentlicht wird, da die Schwachstelle sehr schwerwiegend ist und von böswilligen Akteuren missbraucht werden könnte.
In der Zwischenzeit wird den Nutzern empfohlen, zwischen den Ausschneide-/Kopier- und Einfügeaktionen keine Webseiten zu öffnen und ihre Zwischenablage zu überprüfen, bevor sie sensible Vorgänge im Internet, wie z. B. finanzielle Transaktionen, durchführen.
Die Entwicklung kommt zu dem Zeitpunkt, an dem Google eine neue Version von Chrome (105.0.5195.52/53/54) für Windows, macOS und Linux veröffentlicht hat, die 24 Mängel behebt, von denen sich 10 auf Use-after-free-Fehler in Network Service, WebSQL, WebSQL, PhoneHub und anderen beziehen.