Varhainen Tietoturvaongelmat esto Googlen Chrome

Suojaus tutkijat ovat raportoineet löytää haavoittuvuuksia Googlen uusi web-selain päivässä sen jälkeen, kun se julkaistiin beta-versiossa.

Yksi haavoittuvuus sallisi hakkereiden selaimen kaatumisen. Tietoturvatutkija Rishi Narang kuvattu ongelma on SecuriTeam verkkosivustosta ja kirjoittaneet proof of concept klo Evilfingers. Narangin mukaan hakkeri voisi rakentaa haitallisen linkin, johon kuuluu määrittelemätön käsittelijä ja tietty merkki. Kun käyttäjä napsauttaa linkkiä, Chrome kaatuu.

Toinen, mahdollisesti vakavampi haavoittuvuus voi johtaa Chrome-käyttäjiin haitallisen koodin lataamisessa. Ongelma johtuu osittain siitä, että Google käyttää vanhempaa WebKit-versiota, joka on avoimen lähdekoodin selaintekniikka, jota käytetään myös Applen Safari-selaimessa, joka sisältää haavoittuvuuden.

Tutkijan Aviv Raffin havaitsema ongelma on miten Chrome lataa tiedostoja ja miten Windows käsittelee ladatut tiedostot.

Chromein oletusasetus lataa tiedostot kansioon. Se näyttää sitten lataussivun selaussivun alareunassa. Käyttäjät napsauttavat palkkia avata tiedosto. Jos tiedosto on suoritettava, Windows näyttää varoituksen, joka voi auttaa käyttäjiä välttämään vahingossa lataamalla haittaohjelmia., jos tiedosto on JAR (Java Archive), mutta sitä ei käsitellä kuin muita suoritettavia, Raff sanoi. Kun käyttäjä napsauttaa kyseistä latauspalkkia, Windows näyttää automaattisesti varoituksen sijasta.

Ongelma pahentuu latauspalkin tavoin, Raff sanoi. Palkki näyttää olevan osa Web-sivua. Raffin lähettämässä konseptissa todetaan, että käyttäjät napsauttavat linkkiä tai sivun painiketta sen sijaan, että avaisivat ladatun tiedoston.

"Tämä on jälleen eräänlainen" sekoitettu uhka " "hän kirjoitti blogikirjoituksessa. "Kaksi pientä kysymyksiä eri tuotteita, kun sekoitetaan yhteen, luo paljon suurempi ongelma."

Hän ajattelee Google saattaa kohdata muita vastaavia kysymyksiä tulevaisuudessa, koska Chromen ominaisuudet eri selaimilla, kuten Applen Safari ja Mozillan Firefox.

"Turvallisuus on viisasta, se on hyvin ongelmallista", Raff kirjoitti. "Heidän täytyy seurata kaikkia tietoturvaheikkouksia ne piirteet, ja kiinnitä ne Chromen liikaa. Tämä on todennäköisesti vasta näiden heikkouksien vahvistetaan muiden myyjien tai julkisesti raportoitu. Se asettaa Chromen käyttäjät vaarassa pitkään aikaa. "

Googlella ei suoraan vastannut tähän haavoittuvuuteen liittyviin kysymyksiin tai suunniteltiinko tehdä muutoksia Chromeen mahdollisten ongelmien estämiseksi. Sen sijaan Googlen tiedottaja sanoi lausunnossaan, että oletusarvoisesti Chrome lataa tiedostot erilliseen kansioon käyttäjän työpöydän sijasta keinona välttää tietoturvaongelmia. Lisäksi hän sanoi, että käyttäjät voivat asettaa selaimen pyytämään, minne kukin tiedosto ennen lataamista.

Hän ei sanonut, onko Google aikoo päivittää uudempi versio WebKit, jossa käsitellään ongelmaa näyttämällä JAR-tiedostojen valintaikkuna, jossa pyydetään käyttäjiä, jos he haluavat ladata ne.