Pierwsze luki w Google Chrome
Już pierwszego dnia po udostępnieniu wersji beta nowej przeglądarki Google Chrome wykryto istnienie kilku słabych punktów, które mogą stanowić poważną lukę bezpieczeństwa.
Kilka godzin po udostępnieniu pliku instalacyjnego ekspert ds. bezpieczeństwa informatycznego Aviv Raff poinformowała o wykryciu bardzo groźnej luki w zabezpieczeniach aplikacji. Źródło tego błędu znajduje się w silniku zastosowanym w aplikacji oraz Javie – konkretnie dotyczy plików o rozszerzeniu Jar (archiwów Javy) i pozwala na uruchomienie dowolnego kodu na komputerze bez wiedzy użytkownika w bardzo prosty sposób – po otworzeniu niebezpiecznego archiwum zostaje uruchomiony szkodliwy skrypt (dowolny plik wykonywalny). Aviv Raff na swojej stronie umieścił demonstracyjnego exploita , tzw.proof-of-concept wspomnianego ataku.
Warto dodać, że silnik WebKit wykorzystano również w przeglądarce Safari (Apple), jednak tam luka (po wykryciu określana mianem bomby dywanowej) została wyeliminowana.
Podobny exploit został opublikowany w serwisie MilwOrm przez użytkownika podpisującego się pseudonimem „Nerex”.
Kolejną lukę w nowym produkcie Google wykrył Rishi Narang. W tym przypadku błąd powoduje zawieszenie całej przeglądarki, a przyczyną jest zawodność technologii uruchamiania stron w osobnych procesach, która miała być wielkim reklamowym atutem Google Chrome – ewentualne zakłócenia bądź awaria w działaniu jednej karty miały nie mieć żadnego znaczenia dla pracy pozostałych stron. Serwis EvilFingers umieścił przykładowego exploita, który powoduje zawieszenie całej przeglądarki. Oczywiście ta luka jest znacznie mniej groźna niż wcześniej wymienione uruchamianie dowolnych plików bez wiedzy użytkownika.
Z pewnością nie są to jedyne błędy w przeglądarce giganta z Mountain View. Musimy jednak pamiętać, że udostępniona wersja Google Chrome jest pierwszą wersją testową, dlatego błędy i luki nie są wykluczone.
Źródło: ZDNet, InformationWeek, MilwOrm, EvilFingers, Secunia