viernes, 5 de septiembre de 2008

A 48 horas del lanzamiento de Chrome ya hay 2 exploits dando vueltas

Así es. Al nuevo navegador lanzado por Google denominado "Chrome" ya le han encontrado varios bugs que pueden comprometer la seguridad de un usuario. Al parecer los programadores de Google olvidaron algunas reglas básicas del cómo los navegadores (browsers) deben "comportarse" actualmente. Esto recuerda un poco lo ocurrido hace algunos meses atrás cuando Apple liberó una versión de Safari para Windows.

Los que descargaron Chrome tendrán que esperar que la gran "G" decida sacar un parche de seguridad para su producto y así poder estar más tranquilos utilizando este browser cuya versión vulnerable es la 0.2.149.27.
Los dos exploits, publicados en milw0rm.com, son los siguientes:

1.- Descarga automática de archivos maliciosos: Extrañamente Chrome no emite ningún mensaje cuando se está tratando de descargar archivos potencialmente dañinos como es el caso de...
los ejecutables de Windows (.exe) que perfectamente pueden ser virus.
Ejemplo: www.example.com/hello.exe

2.- Crash de Chrome con todas las pestañas (tabs): Cuando un usuario visita un enlace malicioso (el cual contiene algún caracter especial detallado en el link del título) el navegador provoca un fallo de denegación de servicio (DoS) sin interacción de parte del usuario arrojando el mensaje "Whoa! Google Chrome has crashed. Restart now"? (Google Chrome ha provocado un fallo. ¿Reiniciar ahora?).
Existe una prueba de concepto más detallada en este enlace:http://evilfingers.com/advisory/google_chrome_poc.php

En favor de Google se puede "justificar" mencionando que Chrome está en fase beta y aún no se lanza la versión estable definitiva.

Visto en seguridad-informatica.cl

Link relacionados:
- El Chrome de Google alcanzó el 1% del mercado de navegadores en 24 horas
-
Liberado el código de Chrome
- XChrome, administrador de themes para Chrome
-
Chrome - El Navegador de Google

No hay comentarios: