Google Chrome es vulnerable
Publicado: 2008-09-04 09:31 @438Cuando no han pasado ni 24 horas desde que Google presentó su navegador web Google Chrome, ya se ha reportado la primera vulnerabilidad.
Google Chrome es propenso al mismo problema que Safari hace unos meses, al “carpet bombing“, una vulnerabilidad llamada así por el investigador Aviv Raff que puede ser utilizada para descargar automáticamente archivos cuando el usuario navega por una página maliciosa.
Raff ha publicado una prueba de concepto en la que se demuestra que los usuarios de Chrome pueden ser engañados para descargar y ejecutar archivos JAR sin ninguna advertencia de la aplicación, para ello se aprovecha de un fallo en el Webkit y un error de Java.
Para que el exploit tenga éxito tan sólo se requiere que la víctima haga dos clic, lo cual se puede lograr con un poco de ingeniería social.
Google Chrome está basado en Webkit, el problema es que el navegador de Google utiliza una versión anterior de este motor que es vulnerable. Por ahora la compañía del popular buscador no ha comentado nada al respecto, pero esperemos que pronto se publique una actualización.
Fuente: opensecurity
Google Chrome es propenso al mismo problema que Safari hace unos meses, al “carpet bombing“, una vulnerabilidad llamada así por el investigador Aviv Raff que puede ser utilizada para descargar automáticamente archivos cuando el usuario navega por una página maliciosa.
Raff ha publicado una prueba de concepto en la que se demuestra que los usuarios de Chrome pueden ser engañados para descargar y ejecutar archivos JAR sin ninguna advertencia de la aplicación, para ello se aprovecha de un fallo en el Webkit y un error de Java.
Para que el exploit tenga éxito tan sólo se requiere que la víctima haga dos clic, lo cual se puede lograr con un poco de ingeniería social.
Google Chrome está basado en Webkit, el problema es que el navegador de Google utiliza una versión anterior de este motor que es vulnerable. Por ahora la compañía del popular buscador no ha comentado nada al respecto, pero esperemos que pronto se publique una actualización.
Fuente: opensecurity