Старые болячки поражают новый браузер Google
Браузер Google Chrome появился в Интернете 2 сентября с обещаниями надежной защиты, но прошло совсем немного времени и уже появились отчеты о возможных уязвимостях широко разрекламированного нового браузера, которые делают его платформой для заражения вредоносными программами.
Google признал, что Chrome обязан своим появлением множеству проектов с открытым исходным кодом, включая Apple WebKit. WebKit 525.13, использовавшийся в проекте Chrome, — это фактически тот же код, который повинен в проблеме ковровой бомбардировки, поразившей Safari. В прошлом дефект в этой версии WebKit использовался, чтобы заставить работающих под Windows пользователей Safari загрузить и выполнить вредоносные файлы при посещении зараженного сайта без запроса какого-либо подтверждения от пользователя.
Сообщяют, что пользователи Vista заметили, как браузер загружал файлы на рабочий стол без какого-либо предупреждения. Старший специалист по исследованию угроз Trend Micro Джои Костойя утверждает, что причиной является то, что новый браузер по умолчанию загружает файлы без запроса подтверждения. Эта функция может применяться злоумышленниками в собственных интересах.
Это показано в демонстрации PoC, которую исследовательская компания Aviv Raff представила в качестве доказательства возможности загрузки файла архива Java с помощью нескольких встроенных тегов iFrame. Однако Костойя добавляет, что вредоносные файлы будут выполнены лишь в том случае, если пользователь действительно щелкнет на них в панели загрузки (где обычно показаны последние загруженные файлы), расположенной в нижней части окна браузера.
Простейший способ избежать этой угрозы: в меню браузера выберите "Параметры>Базовые", и отметьте переключатель 'Запрашивать место для сохранения каждого файла перед загрузкой', после чего при загрузке каждого файла будет отображаться запрос. Также можно указать более удобный каталог загрузки файлов, но если не отметить переключатель, то браузер не будет запрашивать подтверждение.
Пока стоит подождать делать ставки на выигрыш Google против таких браузеров, как IE и Firefox, (несмотря на то, что Chrome действительно создан на основе технологии Mozilla). Вскоре после отчета PoC в Cnet News появилась статья о том, что Chrome может аварийно завершить работу при попытке перехода по недопустимой ссылке.
Google признал, что Chrome обязан своим появлением множеству проектов с открытым исходным кодом, включая Apple WebKit. WebKit 525.13, использовавшийся в проекте Chrome, — это фактически тот же код, который повинен в проблеме ковровой бомбардировки, поразившей Safari. В прошлом дефект в этой версии WebKit использовался, чтобы заставить работающих под Windows пользователей Safari загрузить и выполнить вредоносные файлы при посещении зараженного сайта без запроса какого-либо подтверждения от пользователя.
Сообщяют, что пользователи Vista заметили, как браузер загружал файлы на рабочий стол без какого-либо предупреждения. Старший специалист по исследованию угроз Trend Micro Джои Костойя утверждает, что причиной является то, что новый браузер по умолчанию загружает файлы без запроса подтверждения. Эта функция может применяться злоумышленниками в собственных интересах.
Это показано в демонстрации PoC, которую исследовательская компания Aviv Raff представила в качестве доказательства возможности загрузки файла архива Java с помощью нескольких встроенных тегов iFrame. Однако Костойя добавляет, что вредоносные файлы будут выполнены лишь в том случае, если пользователь действительно щелкнет на них в панели загрузки (где обычно показаны последние загруженные файлы), расположенной в нижней части окна браузера.
Простейший способ избежать этой угрозы: в меню браузера выберите "Параметры>Базовые", и отметьте переключатель 'Запрашивать место для сохранения каждого файла перед загрузкой', после чего при загрузке каждого файла будет отображаться запрос. Также можно указать более удобный каталог загрузки файлов, но если не отметить переключатель, то браузер не будет запрашивать подтверждение.
Пока стоит подождать делать ставки на выигрыш Google против таких браузеров, как IE и Firefox, (несмотря на то, что Chrome действительно создан на основе технологии Mozilla). Вскоре после отчета PoC в Cnet News появилась статья о том, что Chrome может аварийно завершить работу при попытке перехода по недопустимой ссылке.