Artikel top billede

Google Chrome allerede ramt af sikkerhedsbøvl

En fejl i Googles nye browser Chrome gør det muligt for hackere at crashe programmet. Vi gennemgår sikkerhedsbristen i detaljer her.

Computerworld News Service: Sikkerhedsanalytikere har allerede dagen efter betaudgivelsen fundet sårbarheder i Googles nye browser, Chrome.

Whoa! Google Chrome has crashed. Restart now?

En bestemt fejl gør det muligt for hackere at 'crashe' browseren.

Sikkerhedsanalytiker Rishi Narang,beskriver problemet på SecuriTeam's hjemmeside.

Samtidig beviser hun sin påstand på hjemmsiden Evilfingers .

Ifølge Narang kan en hacker indsætte et ondsindet link, der inkluderer en udefineret 'handler' efterfulgt af et bestemt tegn.

Når en bruger klikker på linket, går Chrome simpelthen ned med teksten: " Whoa! Google Chrome has crashed. Restart now?".

Problematiske JAR filer

En anden og potentielt mere alvorlig sårbarhed kan resultere i at Chrome-brugeren downloader ondsindet programkode.

Problemet skyldes til dels, at Google bruger en ældre version af open source-browser teknologien WebKit, som også anvendes i Apples Safari-browser.

"Problemet ligger i den måde, hvorpå Chrome downloader filer samt den måde, hvorpå Windows håndterer de downloadede filer," siger Aviv Raff, der opdagede problemet.

Chrome's standardindstillingen henter filer til en bestemt mappe.

Derefter vises en 'download-bar' nederst i browseren.

Brugere klikker derefter på 'download-baren' for at åbne den fil, som er blevet downloadet.

Hvis filen er eksekverbar, viser Windows en advarsel, som kan hjælpe brugere med at undgå ondsindet kode.

Hvis filen er en JAR (Java Archive) bliver den imidlertid ikke behandlet som andre eksekverbare filer.

Når en bruger klikker på linket i bunden af browseren, kører Windows automatisk filen i stedet for at vise en advarsel, forklarer Raff.

Problemet forværres af designet

Problemet forværres af selve browserens design, eftersom 'download-baren' til forveksling ligner en integreret del af websiden man besøger.

I et eksempel , som Raff har konstrueret, viser han, hvordan brugerne kan komme til at tro, at de klikker på et link på siden snarere end at åbne en downloadet fil.

For mange kokke?

"Dette er en slags 'blandet trussel'. To små fejl i to forskellige produkter blandes sammen og skaber et meget større problem," skriver Raff i et blog-indlæg

Raff er overbevist om, at Google vil støde ind i andre lignende sager i fremtiden, fordi Chrome anvender teknologier fra forskellige browsere, heriblandt Apples Safari og Mozillas Firefox.

"Med hensyn til sikkerhed er det meget problematisk. Google vil blive tvunget til at spore alle sikkerhedshuller og reparere dem i Chrome. Dette vil sandsynligvis først ske efter, at sårbarhederne er blevet fundet af andre browserleverandører og er blevet offentliggjort. Dette vil medvirke til, at Chrome brugerne må leve med en forøget sikkerhedsrisiko i meget lang tid," forklarer Raff.

Ingen klare meldinger fra Google

Google har ikke direkte svaret på spørgsmål omkring sikkerhedsproblemerne, og der er heller ikke kommet nogen udmeldinger om, hvorvidt virksomheden agter at foretage ændringer i Chrome for at forebygge eventuelle problemer i fremtiden.

I stedet har Google talskvinde sagt i en erklæring, at Chrome downloader filer til en separat mappe i stedet for skrivebordet, som en måde at undgå visse sikkerhedsproblemer på.

Desuden sagde hun, at brugerne kan indstille browseren til at spørge, hvor den skal gemme hver fil, før filerne bliver hentet.

Hun kunne heller ikke fortælle om Google har til hensigt at opgradere til den seneste version af WebKit, som løser det nuværende problem ved at vise en dialogboks der spørger brugeren om tilladelse før JAR-filer bliver hentet ned på harddisken.

Oversat af Jimmie Gustafsson




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere