Nutzer, die sich die Security Suite von Anbieter Comodo auf ihrem PC installieren, bekommen den Browser Chromodo gratis obendrauf. Die auf Chromium basierende Software verspricht einen schnellen Seitenaufbau, Sicherheit beim Surfen und den Schutz der Privatsphäre.
Sicherheitsforscher Tavis Ormandy hat jedoch gravierende Lücken in Chromodo entdeckt und rät eindringlich von der Nutzung des Browsers ab. Chromodo hebelt laut Ormandy die so genannte Same-Origin-Policy aus. Das Sicherheitskonzept schützt den PC des Nutzers unter anderem indem es Skriptsprachen wie JavaScript den Zugriff auf Objekte verweigert, deren Speicherort nicht mit der ursprünglichen Quelle übereinstimmt. Wird die Same-Origin-Policy ausgehebelt, kann auf dem PC des Nutzers leicht von Dritten Schadsoftware ausgeführt werden, was ihn zur Zielscheibe für Exploits und Angriffe macht. Eine weitere „schäbige Praktik“ von Chromodo sei die Entführung der DNS-Einstellungen. Der Browser importiert weiterhin alle Einstellungen, Cookies und Links von Chrome.
Ormandy, der zu Googles Project-Zero-Team gehört, habe Comodo über die Sicherheitslücke informiert. Der Hersteller habe zunächst nicht reagiert und später einen Hotfix versprochen. In dieser Woche behalft sich Comodo schließlich mit einer schnellen Lösung. Das Unternehmen entfernte lediglich die „execCode“-API aus dem Browser, die Ormandy für seinen Exploit genutzt hatte. Die Schwachstelle könne jedoch auch weiterhin ausgenutzt werden.
Comodo war bereits im vergangenen Jahr negativ aufgefallen. Die Browser-Erweiterung PrivDog, die mit den Tools Internet Security und Dragon vertrieben wurde, hebelte die Validierung von SSL-Zertifikaten aus. Eine sichere Kommunikation konnte so nicht mehr gewährleistet werden.
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.