Artikel top billede

Google Chrome allerede ramt af sikkerhedsbøvl

En fejl i Googles nye browser Chrome gør det muligt for hackere at crashe programmet. Vi gennemgår sikkerhedsbristen i detaljer her.

Computerworld News Service: Sikkerhedsanalytikere har allerede dagen efter betaudgivelsen fundet sårbarheder i Googles nye browser, Chrome.

Whoa! Google Chrome has crashed. Restart now?

En bestemt fejl gør det muligt for hackere at 'crashe' browseren.

Sikkerhedsanalytiker Rishi Narang,beskriver problemet på SecuriTeam's hjemmeside.

Samtidig beviser hun sin påstand på hjemmsiden Evilfingers .

Ifølge Narang kan en hacker indsætte et ondsindet link, der inkluderer en udefineret 'handler' efterfulgt af et bestemt tegn.

Når en bruger klikker på linket, går Chrome simpelthen ned med teksten: " Whoa! Google Chrome has crashed. Restart now?".

Problematiske JAR filer

En anden og potentielt mere alvorlig sårbarhed kan resultere i at Chrome-brugeren downloader ondsindet programkode.

Problemet skyldes til dels, at Google bruger en ældre version af open source-browser teknologien WebKit, som også anvendes i Apples Safari-browser.

"Problemet ligger i den måde, hvorpå Chrome downloader filer samt den måde, hvorpå Windows håndterer de downloadede filer," siger Aviv Raff, der opdagede problemet.

Chrome's standardindstillingen henter filer til en bestemt mappe.

Derefter vises en 'download-bar' nederst i browseren.

Brugere klikker derefter på 'download-baren' for at åbne den fil, som er blevet downloadet.

Hvis filen er eksekverbar, viser Windows en advarsel, som kan hjælpe brugere med at undgå ondsindet kode.

Hvis filen er en JAR (Java Archive) bliver den imidlertid ikke behandlet som andre eksekverbare filer.

Når en bruger klikker på linket i bunden af browseren, kører Windows automatisk filen i stedet for at vise en advarsel, forklarer Raff.

Problemet forværres af designet

Problemet forværres af selve browserens design, eftersom 'download-baren' til forveksling ligner en integreret del af websiden man besøger.

I et eksempel , som Raff har konstrueret, viser han, hvordan brugerne kan komme til at tro, at de klikker på et link på siden snarere end at åbne en downloadet fil.

For mange kokke?

"Dette er en slags 'blandet trussel'. To små fejl i to forskellige produkter blandes sammen og skaber et meget større problem," skriver Raff i et blog-indlæg

Raff er overbevist om, at Google vil støde ind i andre lignende sager i fremtiden, fordi Chrome anvender teknologier fra forskellige browsere, heriblandt Apples Safari og Mozillas Firefox.

"Med hensyn til sikkerhed er det meget problematisk. Google vil blive tvunget til at spore alle sikkerhedshuller og reparere dem i Chrome. Dette vil sandsynligvis først ske efter, at sårbarhederne er blevet fundet af andre browserleverandører og er blevet offentliggjort. Dette vil medvirke til, at Chrome brugerne må leve med en forøget sikkerhedsrisiko i meget lang tid," forklarer Raff.

Ingen klare meldinger fra Google

Google har ikke direkte svaret på spørgsmål omkring sikkerhedsproblemerne, og der er heller ikke kommet nogen udmeldinger om, hvorvidt virksomheden agter at foretage ændringer i Chrome for at forebygge eventuelle problemer i fremtiden.

I stedet har Google talskvinde sagt i en erklæring, at Chrome downloader filer til en separat mappe i stedet for skrivebordet, som en måde at undgå visse sikkerhedsproblemer på.

Desuden sagde hun, at brugerne kan indstille browseren til at spørge, hvor den skal gemme hver fil, før filerne bliver hentet.

Hun kunne heller ikke fortælle om Google har til hensigt at opgradere til den seneste version af WebKit, som løser det nuværende problem ved at vise en dialogboks der spørger brugeren om tilladelse før JAR-filer bliver hentet ned på harddisken.

Oversat af Jimmie Gustafsson




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere


Vejen til skyen

Få indsigt i, hvordan overgangen til en samlet cloud-platform har styrket virksomhedens agilitet, fjernet datasiloer og leveret realtidsdata for bedre beslutningstagning.

04. december 2024 | Læs mere