Die Verschiebung einer tariflichen Sonderzahlung bei Mercedes-Benz ist nach Angaben des Gesamtbetriebsrats eine „einseitige Entscheidung des Unternehmens“. Es sei ausdrücklich kein Ergebnis gemeinsamer Verhandlungen mit der Arbeitnehmervertretung. Tarifvertraglich sei dieses Vorgehen zwar möglich, es zeige aber vor allem, wie groß der Druck inzwischen sei. Bei der Sonderzahlung handelt es sich um den jährlichen „Transformationsbaustein“, der 18,4 Prozent vom regelmäßigen individuellen Monatsentgelt beträgt.

Geplante Arbeitszeitverlängerung

Zuvor hatte der Vorstand die rund 108.000 Beschäftigten in Deutschland in einem Brief über eine Verschärfung des Sparkurses bei dem Autobauer informiert. Für den Gesamtbetriebsrat stehe fest: Die Ursachen der aktuellen Herausforderungen lägen nicht bei den Beschäftigten. Weder die Entwicklung in China, geopolitische Spannungen noch steigende Energiepreise würden von ihnen verursacht. „Trotzdem sollen jetzt erneut die Beschäftigten einen erheblichen Teil der Last tragen.“

Zugleich will das Management mit dem Betriebsrat in den kommenden Wochen über eine Verlängerung der Arbeitszeit ohne Lohnausgleich sprechen, wie das Unternehmen mitteilte. Laut Tarifvertrag arbeiten die Beschäftigten zurzeit 35 Stunden in der Woche.

Der Gesamtbetriebsrat wies darauf hin, dass es derzeit keine Verhandlungen über Arbeitszeitverlängerungen oder tarifliche Einschnitte gebe. „Solche Verhandlungen sind aktuell auch gar nicht möglich, da IG Metall und Arbeitgeberverband die zuständigen Tarifparteien sind. Ohne eine tarifliche Öffnung kann es keine entsprechenden Gespräche geben.“

(fpi)

IT-Sicherheitsforscher haben die Browser-Erweiterung „Adblock for Youtube“ untersucht und sind dabei auf eine potenzielle Sicherheitslücke gestoßen. Der Hersteller steht zudem mit Erweiterungen in Verbindung, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Nutzerinnen und Nutzer sollten auf Alternativen ausweichen.

Die IT-Forscher von island.io nennen in ihrer Analyse das Problem auch „BadBlocker“. Sie führen aus, dass der Werbeblocker „Adblock for Youtube“ (cmedhionkhpnakcndndgjdbohmhepckk) auf mehr als 11 Millionen Installationen kommt und mit mehr als 377.000 Bewertungen und einer Wertung von 4,4 von 5 möglichen Sternen weitreichend von Nutzerinnen und Nutzern Vertrauen genießt. In den Top-Charts der beliebtesten Erweiterungen landet es in Deutschland auf Platz 15. Tatsächlich blockiert er Werbung auf YouTube und funktioniert.

Kuckucksei im Werbeblocker

Allerdings enthält der Adblocker auch eine Möglichkeit, beliebigen JavaScript-Code in jede angezeigte Webseite zu schleusen. Dazu bedarf es keines Updates, das durch Prüfmechanismen des Webstores müsste, sondern lediglich einer serverseitigen Konfigurationsänderung. Eine derartige Änderung würde auch keine sichtbaren Auswirkungen haben, anhand derer Benutzerinnen und Benutzer sie erkennen könnten. Dadurch könne der Adblocker Webseiten auslesen, Daten stehlen oder als Nutzer in persönlichen Konten, Arbeits-Apps, Admin-Panels oder anderen vertraulichen Browsersitzungen agieren.

Die IT-Forscher betonen, dass sie ausdrücklich keinen bösartigen Schadcode entdeckt haben, der an Nutzer ausgeliefert worden wäre. Sie haben lediglich die Möglichkeit dazu aufgespürt, die 11 Millionen Browser betrifft. Sie weisen in dem Kontext darauf hin, dass der Entwickler der Erweiterung ein zumindest verdächtiges Profil hat, in dessen Verlauf auch Browser-Erweiterungen in Erscheinung treten, die Google mit der Begründung „Malware“ aus dem Chrome Web Store geworfen hat. Daraus leiten sie ein reales Risiko ab. Die entfernten Erweiterungen Adblock for Chrome (onomjaelhagjjojbkcafidnepbfkpnee) und Adblock for You (ogcaehilgakehloljjmajoempaflmdci) haben demnach Verknüpfungen zu Adblock for YouTube.

Die Erweiterung Adblock for YouTube kam im Jahr 2014 in den Chrome Web Store. Seitdem kam es zu einigen Code-Änderungen und Besitzerwechseln, etwa 2018 zum jetzigen Inhaber. Zwischenzeitlich wurde die Erweiterung mit dem Unistream-SDK verteilt, das Werbung in Seiten injiziert. Seit dem Besitzerwechsel wuchs die Verbreitung von wenigen 100.000 Nutzerinnen und Nutzern hin zu mehr als 10 Millionen. Zudem kam es zu nicht dokumentierten Verschiebungen darin, was die Erweiterung im Browser anstellen kann. Dennoch genießen gerade Adblocker hohes Vertrauen bei Nutzern, führen die Island-Forscher aus. Sie können Berechtigungen anfordern, die anderen Erweiterungen niemals erteilt würden.

Erweiterung ist überall aktiv

Adblock for YouTube soll nur auf der YouTube-Webseite Werbung blockieren. Dennoch ist die Erweiterung auf allen besuchten Webseiten aktiv, weil das in dem Manifest der Erweiterung so festgelegt ist – anstatt sich auf URLs mit „youtube“-Bestandteil zu beschränken, genehmigt sie sich Zugriff auf „all_urls“. Das könnte eine Prüfung im Quellcode übernehmen, die die Erweiterung mitbringt. Die prüft jedoch nur, ob „youtube.com“ als Zeichenkette in der URL auftaucht. Das ermöglicht Zugriffe der Erweiterung auf alle möglichen Seiten, in denen der Aufruf angepasst wird. Island nennt als Beispiele „www.facebook.com/page?ref=youtube.com“ oder „bank.example.com/search?q=youtube.com“. Darauf hat Adblock for Youtube dann Zugriff.

Die Erweiterung fragt zudem alle 24 Stunden bei ihrem Server nach neuer Konfiguration an, sie setzt eine Anfrage etwa nach „ ab. Zurück kommen Adblocker-Regeln wie Netzwerkfilter, CSS-Selectors, aber auch ein Feld namens „scriptletsRules“. Eine Sammlung solcher JavaScript-Funktionen, die zum Blockieren von Werbung dienen, bringt Adblock for YouTube mit; das sei auch üblich für Adblocker. Der Server kontrolliert, welche davon mit welchen Argumenten ausgeführt werden. Die serverseitigen Anweisungen können bei Adblock for YouTube zum Einschleusen von JavaScript-Code führen. Als Proof-of-Concept haben die IT-Forscher den Adblock-for-YouTube-Server imitiert. Der antwortet mit manipuliertem scriptletsRules-Eintrag, der auf Aktivierung durch den Besuch auf YouTube wartet. Surfen User YouTube an, injiziert sich das serverseitig gesendete Script in die Webseite und kann im Hintergrund konkret etwa die Salesforce-Webseite aufrufen; mit eingeschleustem „youtube.com“-String hat die Erweiterung nun auch darauf vollen Zugriff. Der Proof-of-Concept liest nur die Daten aus, auf die User zugreifen können, und sendet sie zurück an den gefälschten Server. Das Ganze ist mit nur einer serverseitigen Änderung möglich.

Verdächtig ist den IT-Sicherheitsforschern nicht die eine zwielichte Zeile an Code, führen sie aus, sondern die Kombination aus hoher Installationsanzahl mit Zugriff auf alle Seiten, ein aus der Ferne kontrollierbarer Pfad zum Einschleusen von Code und frühere Werbeeinschleusungsinfrastruktur, größere Besitzer- und Codebasis-Änderungen und damit verbundene Erweiterungen, die wegen Malwareanzeichen aus dem Chrome Web Store geworfen wurden. Sie wiederholen, dass sie keinen konkreten Missbrauch beobachtet haben, aber ein Risikoprofil, das ernsthafte Aufmerksamkeit benötigt.

Etwa in Unternehmen sollte keine allgemeine Blockade aller Werbeblocker erfolgen, da gute tatsächlich nützlich seien. Sie liefern eine Handreichung sowie Anzeichen für Vorhandensein der Erweiterung in Form von Indicators of Compromise (IOC).

Mitte Februar hatte die IT-Forschergemeinschaft „Q Continuum“ hunderte Erweiterungen entdeckt, teils ebenfalls mit Millionen von Installationen, die ihre Nutzer ausspähen und etwa den Browserverlauf der Nutzer an ihre Hersteller senden.

(dmk)

Zur Prüfung von IP-Adressen gibt es in der Klasse System.Net.IPAddress schon seit .NET Framework 2.0 die statische Methode TryParse(), die eine IP-Adresse aus einer Zeichenkette extrahiert.

Seit .NET Core 2.1 ist die Extraktion auch aus dem Typ ReadOnlySpan möglich. Der Rückgabewert ist ein bool-Wert und die extrahierte IP-Adresse wird in Form einer Instanz der Klasse IPAddress als out-Parameter geliefert. Wenn man nur prüfen will, ob die IP-Adresse stimmt, schreibt man IPAddress.TryParse(eingabe, out _).

In .NET 10.0 bietet Microsoft nun in der statischen Methode IsValid() eine weitere Prüfungsvariante mit weniger internem Aufwand. Folgender Code vergleicht IsValid() mit TryParse():

/// 

/// IsValid mit ReadOnlySpan oder ReadOnlySpan als Alternative zu IPAddress.TryParse(span, out _)
/// 
public void Run()
{
 CUI.Demo("IPAddress.IsValid()");

 string IP1 = "192.168.1.0"; // gültige IPv4-Adresse
 CUI.H2(IP1);

 // --- Alt
 var valid1 = IPAddress.TryParse(IP1, out _);
 Console.WriteLine("TryParse: " + valid1); // true

 // --- Neu
 System.Console.WriteLine("IsValid: " + System.Net.IPAddress.IsValid(IP1)); // true

 string IP2 = "192.168.256.1"; // ungültige IPv4-Adresse
 CUI.H2(IP2);

 // --- Alt
 var valid2 = IPAddress.TryParse(IP2, out _);
 Console.WriteLine("TryParse: " + valid2); // false

 // --- Neu
 System.Console.WriteLine("IsValid: " + System.Net.IPAddress.IsValid(IP2)); // false
}

Dafür kehrt Microsoft nun einfach eine bisher interne Methode TargetHostNameHelper.IsValidAddress() nach außen, wie sich dem Issue auf GitHub entnehmen lässt.

(rme)