Computerworld News Service: Sikkerhedsanalytikere har allerede dagen efter betaudgivelsen fundet sårbarheder i Googles nye browser, Chrome.
Whoa! Google Chrome has crashed. Restart now?
En bestemt fejl gør det muligt for hackere at 'crashe' browseren.
Sikkerhedsanalytiker Rishi Narang,beskriver problemet på SecuriTeam's hjemmeside.
Samtidig beviser hun sin påstand på hjemmsiden Evilfingers .
Ifølge Narang kan en hacker indsætte et ondsindet link, der inkluderer en udefineret 'handler' efterfulgt af et bestemt tegn.
Når en bruger klikker på linket, går Chrome simpelthen ned med teksten: " Whoa! Google Chrome has crashed. Restart now?".
Problematiske JAR filer
En anden og potentielt mere alvorlig sårbarhed kan resultere i at Chrome-brugeren downloader ondsindet programkode.
Problemet skyldes til dels, at Google bruger en ældre version af open source-browser teknologien WebKit, som også anvendes i Apples Safari-browser.
"Problemet ligger i den måde, hvorpå Chrome downloader filer samt den måde, hvorpå Windows håndterer de downloadede filer," siger Aviv Raff, der opdagede problemet.
Chrome's standardindstillingen henter filer til en bestemt mappe.
Derefter vises en 'download-bar' nederst i browseren.
Brugere klikker derefter på 'download-baren' for at åbne den fil, som er blevet downloadet.
Hvis filen er eksekverbar, viser Windows en advarsel, som kan hjælpe brugere med at undgå ondsindet kode.
Hvis filen er en JAR (Java Archive) bliver den imidlertid ikke behandlet som andre eksekverbare filer.
Når en bruger klikker på linket i bunden af browseren, kører Windows automatisk filen i stedet for at vise en advarsel, forklarer Raff.
Problemet forværres af designet
Problemet forværres af selve browserens design, eftersom 'download-baren' til forveksling ligner en integreret del af websiden man besøger.
I et eksempel , som Raff har konstrueret, viser han, hvordan brugerne kan komme til at tro, at de klikker på et link på siden snarere end at åbne en downloadet fil.
For mange kokke?
"Dette er en slags 'blandet trussel'. To små fejl i to forskellige produkter blandes sammen og skaber et meget større problem," skriver Raff i et blog-indlæg
Raff er overbevist om, at Google vil støde ind i andre lignende sager i fremtiden, fordi Chrome anvender teknologier fra forskellige browsere, heriblandt Apples Safari og Mozillas Firefox.
"Med hensyn til sikkerhed er det meget problematisk. Google vil blive tvunget til at spore alle sikkerhedshuller og reparere dem i Chrome. Dette vil sandsynligvis først ske efter, at sårbarhederne er blevet fundet af andre browserleverandører og er blevet offentliggjort. Dette vil medvirke til, at Chrome brugerne må leve med en forøget sikkerhedsrisiko i meget lang tid," forklarer Raff.
Ingen klare meldinger fra Google
Google har ikke direkte svaret på spørgsmål omkring sikkerhedsproblemerne, og der er heller ikke kommet nogen udmeldinger om, hvorvidt virksomheden agter at foretage ændringer i Chrome for at forebygge eventuelle problemer i fremtiden.
I stedet har Google talskvinde sagt i en erklæring, at Chrome downloader filer til en separat mappe i stedet for skrivebordet, som en måde at undgå visse sikkerhedsproblemer på.
Desuden sagde hun, at brugerne kan indstille browseren til at spørge, hvor den skal gemme hver fil, før filerne bliver hentet.
Hun kunne heller ikke fortælle om Google har til hensigt at opgradere til den seneste version af WebKit, som løser det nuværende problem ved at vise en dialogboks der spørger brugeren om tilladelse før JAR-filer bliver hentet ned på harddisken.
Oversat af Jimmie Gustafsson
