Computerworld News Service: Googles Chrome indeholder en kritisk sårbarhed, der gør det muligt for angribere at plante malware på pc'er med Windows, fortalte en sikkerhedsvirksomhed i sidste uge.
Ifølge Acros Security, der har base i Slovenien, vil Google ikke kategorisere fejlen som en sårbarhed, og virksomheden ser den i stedet som "mærkelig opførsel, som [de] skal overveje at ændre."
Google mener, at den kræver for mange betingelser opfyldt og for mange handlinger fra brugerens side til at kunne klassificeres som en sårbarhed.
Kaldes DDLL load hijacking
Mitja Kolsek, der er administrerende direktør hos Acros, fortæller, at sårbarheden er én ud af en række i Windows-programmer, som benytter sig af en angrebsstrategi, der går under navnene "DLL load hijacking," "binary planting" og "file planting."
Angrebet blev kendt i offentligheden i august 2010, da skaberen af hackerværktøjet Metasploit og sikkerhedschef hos Rapid7, HD Moore, opdagede en lang række sårbare Windows-applikationer.
HD Moores rapport blev fulgt af andres, heriblandt adskillige fra Mitja Kolsek og Acros.
Mange Windows-applikationer tilgår ikke DLL'er ('dynamic link libraries') ved hjælp af det fulde sti-navn, men bruger i stedet kun filnavnet, og det giver hackerne mulighed for at narre applikationen til at downloade en dårlig fil med samme titel som pågældende DLL.
Hvis angriberne kan lokke brugerne til at besøge en ondsindet hjemmeside eller en delt mappe eller til at sætte et USB-stik i computeren - og til i visse tilfælde at åbne en fil - så kan de overtage kontrollen med computeren og plante malware på den.
Microsoft har for eksempel udbudt 17 sikkerhedsopdateringer i løbet af de seneste 13 måneder for at løse problemerne med DLL load highjacking, hvoraf de fleste udkom tidligere i denne måned.
Den nyeste påvirker dog Chrome, som er den browser, der - på grund af sin 'sandbox'-teknologi der isolerer browseren fra resten af systemet - generelt af sikkerhedseksperter bliver anset for at være den sikreste browser på top fem.
Oversat af Marie Dyekjær Eriksen
