Kilka godzin po premierze Google Chrome w sieci pojawiły się pierwsze exploity wykorzystujące błędy znalezione w tej przeglądarce - niektóre tylko zawieszają program, inne pozwalają na uruchamianie plików wykonywalnych.
Jak donosi ZDNet, jedna z odkrytych luk umożliwia atak typu carpet-bombing. Użycie odpowiednio spreparowanego archiwum Javy (pliku o rozszerzeniu JAR) pozwala na uruchomienie bez wiedzy użytkownika szkodliwego skryptu. Znany specjalista od zabezpieczeń Aviv Raff umieścił na swojej stronie demonstracyjnego exploita, tzw. proof-of-concept tego ataku.
Warto przypomnieć, że Google Chrome bazuje na silniku WebKit 525.13, który stosowano wcześniej w przeglądarce Safari 3.1. Owocna współpraca Microsoftu z firmą Apple doprowadziła do eliminacji usterki określanej jako Safari Carpet Bomb i zmotywowała ekspertów z Redmond do poszukiwania dziur w aplikacjach innych producentów. Przygotowując własną przeglądarkę, Google najwidoczniej nie uwzględniło tego faktu i wykorzystało wersję silnika podatną na atak.
Redaktorzy InformationWeek donoszą o publikacji podobnego exploita w serwisie milw0rm. Internauta podpisujący się pseudonimem nerex dowodzi w ten sposób, że użycie znacznika iframe może spowodować automatyczne pobranie pliku wykonywalnego na komputer użytkownika odwiedzającego spreparowaną witrynę.
Nie minęły 24 godziny od udostępnienia przeglądarki, a na hostowanej przez Secunię liście Full-Disclosure pojawiła się informacja o kolejnej luce, którą wykrył Rishi Narang. Zawiódł w tym przypadku zachwalany przez Google'a menedżer procesów, dzięki któremu ewentualne zakłócenia w działaniu jednej karty miały nie przeszkadzać w pracy całej aplikacji.
W serwisie EvilFingers można znaleźć przykładowego exploita, który doprowadza do kompletnego zawieszenia przeglądarki. Usterka występuje w Google Chrome 0.2.149.27, odkrywca błędu testował program w systemie Windows XP Professional z dodatkiem SP3.
"W chwili obecnej można przypuszczać tylko, że tego typu błędów jest znacznie więcej i będą one wyciekać z dnia na dzień" - prognozują redaktorzy serwisu dobreprogramy, odradzając korzystanie z nowej przeglądarki, dopóki Google nie wyda kolejnej wersji. Na chromium, skąd można pobrać kod źródłowy projektu, wszczęto dyskusję nad jedną z opisanych wyżej dziur, czego efektem było jej załatanie.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*