Tidlige sikkerhedsproblemer Forsvar Google's Chrome

Sikkerhedsforskere har rapporteret at finde sårbarheder i Googles ny webbrowser en dag efter, at den blev udgivet i beta.

En sårbarhed ville gøre det muligt for hackere at kollapse browseren. Sikkerhedsforsker Rishi Narang beskrev problemet på SecuriTeam-webstedet og sendte et bevis på koncept hos Evilfingers. Ifølge Narang kunne en hacker bygge et ondsindet link, der indeholder en ubestemt handler efterfulgt af en bestemt karakter. Når en bruger klikker på linket, går Chrome ned.

En anden, potentielt mere alvorlig sårbarhed kan medføre, at Chrome-brugere henter ondsindet kode. Problemet skyldes til dels, at Google bruger en ældre version af WebKit, den åbne browser-teknologi, der også bruges i Apples Safari-browser, der indeholder sårbarheden.

Opdaget af forsker Aviv Raff, problemet ligger I den måde, Chrome downloader filer og hvordan Windows håndterer de downloadede filer, sagde han.

Chrome's standardindstilling overfører filer til en mappe. Derefter vises en downloadbar nederst på browsersiden. Brugere klikker på linjen for at åbne filen. Hvis filen er en eksekverbar, viser Windows en advarsel, som kan hjælpe brugerne med at undgå utilsigtet at downloade skadelig kode.

Hvis filen er et JAR (Java-arkiv), behandles det ikke som andre eksekverbare filer, siger Raff. Når en bruger klikker på downloadlinjen, i stedet for at vise en advarsel, kører Windows automatisk filen.

Problemet forværres af den måde, downloadlinjen ser ud, siger Raff. Linjen ser ud til at være en del af websiden. I et koncept med koncept, som Raff har lagt ud, tror brugerne måske, at de klikker på et link eller en knap på siden, i stedet for at åbne en downloadet fil.

"Dette er igen en slags" blandet trussel " "skrev han i et blogindlæg. "To små problemer i forskellige produkter, når de blandes sammen skaber et meget større problem."

Han mener, at Google måske møder andre lignende problemer i fremtiden, fordi Chrome bruger teknologier fra forskellige browsere, herunder Apples Safari og Mozilla Firefox.

"Sikkerhedsvis, det er meget problematisk," skrev Raff. "De bliver nødt til at spore alle sikkerhedsproblemer i disse funktioner og reparere dem også i Chrome. Dette vil nok kun være efter at disse sårbarheder blev rettet af de andre leverandører eller blev offentliggjort. Det vil sætte Chrome-brugere i fare i lang tid tid. "

Google adresserede ikke direkte spørgsmål om dette sårbarhed, eller om det planlægger at foretage ændringer i Chrome for at forhindre eventuelle potentielle problemer. I stedet sagde en Google-talsmand i en erklæring om, at Chrome som standard downloader filer i en separat mappe i stedet for på brugerens skrivebord som en måde at undgå nogle sikkerhedsproblemer på. Desuden sagde hun, at brugere kan indstille browseren til at spørge, hvor de skal gemme hver fil, før de downloades.

Hun sagde heller ikke, om Google har til hensigt at opgradere til den nyere version af WebKit, som løser problemet ved at vise en dialogboksen for JAR-filer, der spørger brugerne, om de vil downloade dem.