Tidlige sikkerhetsproblemer Smerter Googles Chrome

Sikkerhetsforskere har rapportert å finne sårbarheter i Googles ny nettleser en dag etter at den ble utgitt i beta.

Ett sikkerhetsproblem ville tillate hackere å krasje nettleseren. Sikkerhetsforsker Rishi Narang beskrev problemet på SecuriTeams nettsted og sendte et bevis på konseptet hos Evilfingers. Ifølge Narang kunne en hacker bygge en ondsinnet lenke som inkluderer en udefinert handler etterfulgt av en viss karakter. Når en bruker klikker på koblingen, krasjer Chrome.

Et annet, potensielt mer alvorlig sikkerhetsproblem kan føre til at Chrome-brukere laster ned skadelig kode. Problemet skyldes delvis at Google bruker en eldre versjon av WebKit, den åpne nettleserteknologien som også brukes i Apples Safari-nettleser, som inkluderer sikkerhetsproblemet.

Oppdaget av forsker Aviv Raff, problemet ligger i den måten Chrome laster ned filer og hvordan Windows håndterer de nedlastede filene, sa han.

Chrome standardinnstillinger laster ned filer til en mappe. Deretter vises en nedlastingslinje nederst på nettlesersiden. Brukere klikker på linjen for å åpne filen. Hvis filen er en kjørbar, viser Windows en advarsel, som kan hjelpe brukerne til å unngå å laste ned ondsinnet kode ved et uhell.

Hvis filen er en JAR (Java-arkiv), blir den ikke behandlet som andre kjørbare, sa Raff. Når en bruker klikker på denne nedlastingslinjen, i stedet for å vise en advarsel, kjører Windows automatisk filen.

Problemet forverres av hvordan nedlastingslinjen ser ut, sier Raff. Linjen ser ut til å være en del av nettsiden. I et bevis på konseptet som Raff skrev, kan brukerne tro at de klikker på en kobling eller en knapp på siden, i stedet for å åpne en nedlastet fil.

"Dette er igjen en slags" blandet trussel ", "skrev han i et blogginnlegg. "To små problemer i ulike produkter, når de blandes sammen, skaper et mye større problem."

Han mener at Google kan møte andre lignende problemer i fremtiden fordi Chrome bruker teknologier fra forskjellige nettlesere, inkludert Apples Safari og Mozilla Firefox.

"Sikkerhetsvis, det er veldig problematisk," skrev Raff. "De må spore alle sikkerhetsproblemer i disse funksjonene, og fikse dem også i Chrome. Dette vil trolig være først etter at disse sikkerhetsproblemene ble løst av de andre leverandørene, eller ble offentlig rapportert. Det vil sette Chrome-brukere i fare i lang tid tid. "

Google adresserte ikke direkte spørsmål om dette sikkerhetsproblemet eller om det har til hensikt å gjøre noen endringer i Chrome for å forhindre potensielle problemer. I stedet sa en talsmann fra Google i en uttalelse at Chrome som standard laster ned filer til en egen mappe i stedet for på brukerens skrivebord som en måte å unngå noen sikkerhetsproblemer på. I tillegg sa hun at brukerne kan stille nettleseren for å spørre hvor du skal lagre hver fil før du laster ned den.

Hun sa heller ikke om Google har tenkt å oppgradere til den nyere versjonen av WebKit, som adresserer problemet ved å vise en dialogboksen for JAR-filer, spør brukerne om de vil laste dem ned.