Herzlichen Glückwunsch, dann sollten vorsichtshalber alle Passwörter neu gesetzt werden. Sowohl Google Chrome, als auch Microsoft Edge mitsamt Editor petzen Passwörter wenn drei Bedingungen zutreffen: Die erweiterte Rechtschreibprüfung ist aktiviert. Der Benutzer klickt bei Eingabe auf “Passwort zeigen”. Die Website verhindert nicht aktiv eine Rechtschreibprüfung. Die automatische Rechtschreibprüfung übermittelt in diesem Falle das vermeintlich falsch erkannte Wort ungefragt an die entsprechenden Google- und Microsoft-Services. Auch jeder Man-in-the-Middle Angreifer, der gezielt den Traffic zu diesen Diensten überwacht, gelangt so an die im Klartext übermittelten Passwörter. Ob diese systemseitig noch in Dateien oder an andere Orte gelangen bleibt unklar. Weitere Infos gibt es auf der Website des Finders.1 Read more

Vor zwei Jahren hat der bekannte Google Project-Zero Sicherheitsforscher Tavis Ormandy ein kleines Script mit dem Namen cefdebug geschrieben.1 Gedacht für alle Anwendungen, die zur Darstellung von Webseiten die Chrome Engine (CEF)2 oder das Framework Electron3 einsetzen. Böse formuliert ist Electron das neue Flash4. Eingesetzt von hippen (Web-)Entwicklern, die sich um die Konsequenzen und Tragweite Ihrer Designentscheidungen nicht scheren. Allein der Bequemlichkeit wegen werden Web-Anwendungen mit viel HTML, CSS und Javascript erstellt, um dann mit dem Overhead eines Browsers und Webservers cross-platform auf den Geräten der Anwender zu landen. Read more