Komponenty

Problémy s raným bezpečnostním problémem Zaznamenávají problémy s bezpečnostním problémem

Avi Rubin: All your devices can be hacked

Avi Rubin: All your devices can be hacked
Anonim

Výzkumníci již nalezli dva bezpečnostní problémy s novým prohlížečem Chrome

. nový webový prohlížeč den poté, co byl vydán v beta verzi.

Jedna zranitelnost by umožnila hackerům narušit prohlížeč. Výzkumný pracovník v oblasti bezpečnosti Rishi Narang popsal problém na webu SecuriTeam a zveřejnil důkaz o koncepci u Evilfingers. Podle Naranga by hacker mohl vytvořit škodlivý odkaz, který by obsahoval nedefinovaný psovod, po němž by následoval jistý charakter. Když uživatel klikne na odkaz, Chrome dojde ke zhroucení.

Další, potenciálně závažnější zranitelnost může způsobit, že uživatelé prohlížeče Chrome stahují škodlivý kód. Problém je částečně způsoben skutečností, že Google používá starší verzi WebKit, technologie prohlížeče open-source, která se také používá v prohlížeči Safari společnosti Apple, která zahrnuje tuto chybu zabezpečení.

Objevuje se výzkumník Aviv Raff, problém leží jakým způsobem Chrome stahuje soubory a jak Windows zpracovává stažené soubory, řekl.

Výchozí nastavení prohlížeče Chrome stahuje soubory do složky. V dolní části stránky prohlížeče se zobrazí panel stáhnutí. Uživatelé kliknou na panel a otevře soubor. Pokud je soubor spustitelný, systém Windows zobrazí varování, které může uživatelům pomoci vyhnout se neúmyslnému stažení škodlivého kódu.

Je-li soubor JAR (Java Archive), není však zacházeno jako s ostatními spustitelnými soubory, řekl Raff. Když uživatel klikne na tento panel pro stahování, místo toho, aby zobrazil varování, systém automaticky spustí soubor.

Problém je zhoršen způsobem, jak vypadá lišta pro stahování, řekl Raff. Zdá se, že panel je součástí webové stránky. V důkazu o konceptu, který Raff zveřejnil, uživatelé si možná myslí, že kliknou na odkaz nebo tlačítko na stránce, místo aby otevírali stáhnutý soubor.

"Toto je opět druh smíšené hrozby, "napsal na blogu. "Dvě drobné problémy v různých produktech, když se skládají dohromady, vytvářejí mnohem větší problém."

Domnívá se, že společnost Google může v budoucnosti čelit dalším podobným problémům, protože Chrome používá technologie z různých prohlížečů, včetně Safari Apple a Firefoxu Mozilly. "Bezpečnostní, je to velmi problematické," napsal Raff. "Budou muset sledovat všechny bezpečnostní chyby v těchto funkcích a také je opravit v prohlížeči Chrome. To bude pravděpodobně teprve poté, co tyto chyby byly opraveny ostatními dodavateli nebo byly veřejně ohlášeny. čas. "

Společnost Google se přímo nezabývala otázkami ohledně této chyby zabezpečení nebo plánuje provést změny v Chromu, aby se zabránilo možným problémům. Místo toho mluvčí Google uvedla ve svém prohlášení, že Chrome ve výchozím nastavení stahuje soubory do samostatné složky namísto na pracovní ploše uživatele, aby se vyhnuli některým problémům s bezpečností. Kromě toho uvedla, že uživatelé mohou nastavit prohlížeč, aby se zeptal, kam má soubor uložit, než ho stáhne.

Ona také neříkala, zda má Google v úmyslu přejít na novější verzi WebKit, která řeší problém zobrazením dialogové okno pro soubory JAR s dotazem na uživatele, pokud si je přeje stáhnout.