I primi problemi di sicurezza offuscano Chrome di Google

I ricercatori di sicurezza hanno segnalato la ricerca di vulnerabilità in Google nuovo browser Web il giorno successivo alla sua versione beta.

Una vulnerabilità consentirebbe agli hacker di bloccare il browser. Il ricercatore di sicurezza Rishi Narang ha descritto il problema sul sito Web SecuriTeam e ha pubblicato una dimostrazione del concetto presso Evilfingers. Secondo Narang, un hacker potrebbe creare un collegamento dannoso che include un gestore indefinito seguito da un determinato personaggio. Quando un utente fa clic sul link, Chrome si arresta in modo anomalo.

Un'altra vulnerabilità potenzialmente più grave potrebbe causare il download di codice dannoso da parte degli utenti di Chrome. Il problema è dovuto, in parte, al fatto che Google utilizza una versione precedente di WebKit, la tecnologia browser open source utilizzata anche nel browser Safari di Apple, che include la vulnerabilità.

Scoperto dal ricercatore Aviv Raff, il problema sta nel modo in cui Chrome scarica i file e il modo in cui Windows gestisce i file scaricati, ha affermato.

Le impostazioni predefinite di Chrome trasferiscono i file in una cartella. Quindi visualizza una barra di download nella parte inferiore della pagina del browser. Gli utenti fanno clic sulla barra per aprire il file. Se il file è un eseguibile, Windows visualizza un avviso, che può aiutare gli utenti a evitare di scaricare inavvertitamente il codice dannoso.

Se il file è un JAR (Java Archive), tuttavia, non viene trattato come altri eseguibili, ha detto Raff. Quando un utente fa clic su quella barra di download, invece di visualizzare un avviso, Windows esegue automaticamente il file.

Il problema è esacerbato dal modo in cui appare la barra di download, ha detto Raff. La barra sembra essere parte della pagina Web. In un proof of concept pubblicato da Raff, gli utenti potrebbero pensare di fare clic su un link o un pulsante sulla pagina, piuttosto che aprire un file scaricato.

"Questa è di nuovo una sorta di" minaccia combinata ", "ha scritto in un post sul blog. "Due piccoli problemi in prodotti diversi, se combinati, creano un problema molto più grande."

Pensa che Google potrebbe affrontare altri problemi simili in futuro perché Chrome utilizza tecnologie di diversi browser, tra cui Safari di Apple e Mozilla Firefox.

"La sicurezza è molto problematica", ha scritto Raff. "Dovranno tenere traccia di tutte le vulnerabilità di sicurezza di tali funzioni e correggerle anche in Chrome, probabilmente solo dopo che tali vulnerabilità sono state riparate dagli altri fornitori o sono state segnalate pubblicamente. Metterà a rischio gli utenti di Chrome per un lungo periodo

Google non ha risposto direttamente alle domande su questa vulnerabilità o se intende apportare modifiche a Chrome per prevenire potenziali problemi. Invece, una portavoce di Google ha dichiarato in una dichiarazione che, per impostazione predefinita, Chrome scarica i file in una cartella separata anziché sul desktop dell'utente come un modo per evitare alcuni problemi di sicurezza. Inoltre, ha detto che gli utenti possono impostare il browser per chiedere dove salvare ogni file prima di scaricarlo.

Inoltre non ha detto se Google intende aggiornare alla versione più recente di WebKit, che risolve il problema visualizzando un finestra di dialogo per i file JAR che chiede agli utenti se vogliono scaricarli.