Antecipam problemas de segurança com o novo Google Chrome Chrome

Uma vulnerabilidade permitiria que hackers travassem o navegador. O pesquisador de segurança Rishi Narang descreveu a questão no site SecuriTeam e postou uma prova de conceito no Evilfingers. De acordo com Narang, um hacker poderia criar um link malicioso que inclui um manipulador indefinido seguido por um certo caractere. Quando um usuário clica no link, o Google Chrome trava.

Outra vulnerabilidade potencialmente mais séria pode fazer com que os usuários do Chrome baixem códigos maliciosos. O problema se deve, em parte, ao fato de que o Google usa uma versão mais antiga do WebKit, a tecnologia de navegador de código aberto usada também no navegador Safari da Apple, que inclui a vulnerabilidade.

Descoberto pelo pesquisador Aviv Raff, o problema está no modo como o Chrome baixa arquivos e o modo como o Windows lida com os arquivos baixados, ele disse que a configuração padrão do

Chrome faz o download dos arquivos em uma pasta. Em seguida, exibe uma barra de download na parte inferior da página do navegador. Os usuários clicam na barra para abrir o arquivo. Se o arquivo for um executável, o Windows exibirá um aviso, que pode ajudar os usuários a evitar o download inadvertido de códigos maliciosos.

Se o arquivo for um JAR (Java Archive), ele não será tratado como outros executáveis, disse Raff. Quando um usuário clica na barra de download, em vez de exibir um aviso, o Windows automaticamente executa o arquivo.

O problema é exacerbado pela aparência da barra de download, disse Raff. A barra parece ser parte da página da Web. Em uma prova de conceito que Raff postou, os usuários podem achar que estão clicando em um link ou botão na página, em vez de abrir um arquivo baixado.

"Isso é mais uma vez uma espécie de 'ameaça combinada', "ele escreveu em um post no blog. "Dois pequenos problemas em diferentes produtos, quando combinados, criam um problema muito maior."

Ele acha que o Google poderá enfrentar outros problemas semelhantes no futuro, porque o Chrome usa tecnologias de navegadores diferentes, incluindo o Safari da Apple e o Mozilla Firefox.

"Segurança, é muito problemático", escreveu Raff. "Eles terão que rastrear todas as vulnerabilidades de segurança nesses recursos e corrigi-los no Google Chrome também. Isso provavelmente ocorrerá somente depois que essas vulnerabilidades forem corrigidas pelos outros fornecedores ou forem divulgadas publicamente. Isso colocará os usuários do Chrome em risco por um longo período. time. "

O Google não respondeu diretamente a perguntas sobre essa vulnerabilidade ou se planeja fazer alterações no Chrome para evitar possíveis problemas. Em vez disso, uma porta-voz do Google disse em um comunicado que, por padrão, o Chrome baixa arquivos em uma pasta separada, em vez de na área de trabalho do usuário, como forma de evitar alguns problemas de segurança. Além disso, ela disse que os usuários podem configurar o navegador para onde salvar cada arquivo antes de baixá-lo.

Ela também não disse se o Google pretende atualizar para a versão mais recente do WebKit, que resolve o problema exibindo um caixa de diálogo para arquivos JAR perguntando aos usuários se eles querem baixá-los.