مشكلات الأمان المبكر تشويه Google Chrome

أبلغ باحثو الأمن عن العثور على ثغرات في Google متصفح الويب الجديد بعد يوم واحد من إصداره في الإصدار التجريبي.

إحدى الثغرات الأمنية تسمح للمتسللين بتعطيل المتصفح. وصف الباحث الأمني ​​ريشي نارنغ هذه المسألة على موقع SecuriTeam على الإنترنت ونشرت دليلا على المفهوم في Evilfingers. وفقا ل Narang ، يمكن للهاكر بناء رابط خبيث يتضمن معالج غير محدد يتبعه شخصية معينة. عندما ينقر المستخدم على الرابط ، يتعطل Chrome.

هناك ثغرة أخرى قد تكون أكثر خطورة قد تؤدي إلى قيام مستخدمي Chrome بتنزيل شفرة ضارة. يرجع السبب في ذلك جزئيًا إلى حقيقة أن Google تستخدم إصدارًا قديمًا من WebKit ، وهي تقنية المتصفح المفتوح المصدر المستخدمة أيضًا في متصفح Safari في Apple ، والتي تتضمن الثغرة الأمنية.

اكتشف الباحث المشكلة في طريقة تنزيل Chrome للملفات والطريقة التي يتعامل بها Windows مع الملفات التي تم تنزيلها ، قال

إعداد Chrome الافتراضي لتنزيل الملفات إلى مجلد. ثم يعرض شريط التنزيل في أسفل صفحة المتصفح. ينقر المستخدمون على الشريط لفتح الملف. إذا كان الملف قابلاً للتنفيذ ، يعرض Windows تحذيرًا ، والذي يمكن أن يساعد المستخدمين على تجنب تحميل التعليمات البرمجية الضارة دون قصد.

إذا كان الملف JAR (أرشيف Java) ، ومع ذلك ، فإنه لا يتم التعامل معه مثل الملفات التنفيذية الأخرى ، على حد قول Raff. عندما يقوم المستخدم بالنقر فوق شريط التنزيل هذا ، بدلاً من عرض تحذير ، يقوم Windows تلقائيًا بتشغيل الملف.

تتفاقم المشكلة بالطريقة التي يبدو عليها شريط التنزيل. يبدو أن الشريط جزء من صفحة الويب. في إثبات لمفهوم نشر RAF ، قد يعتقد المستخدمون أنهم ينقرون على رابط أو زر على الصفحة ، بدلاً من فتح ملف تم تنزيله.

"هذا مرة أخرى نوع من" التهديد الممزوج "، "كتب في مدونة. "هناك مشكلتان صغيرتان في منتجات مختلفة ، عندما تمتزجان معًا ، تخلقان مشكلة أكبر بكثير."

ويعتقد أن Google قد تواجه مشكلات أخرى مشابهة في المستقبل لأن Chrome يستخدم تقنيات من متصفحات مختلفة ، بما في ذلك Safari Apple و Firefox في Mozilla.

"الأمن الحكيمة ، انها مشكلة للغاية ،" كتبت راف. "سيتعين عليهم تتبع جميع الثغرات الأمنية في هذه الميزات ، وإصلاحها في Chrome أيضًا. ربما يكون هذا فقط بعد إصلاح نقاط الضعف هذه من قِبل الموردين الآخرين أو الإبلاغ عنها بشكل عام. سيعرض هذا مستخدمي Chrome للخطر لفترة طويلة "

لم تتعامل Google مباشرةً مع الأسئلة المتعلقة بهذه الثغرة الأمنية أو ما إذا كانت تعتزم إجراء أي تغييرات على Chrome لمنع حدوث أي مشكلات محتملة. وبدلاً من ذلك ، قالت متحدثة باسم Google في بيان إنه ، بشكل افتراضي ، يقوم Chrome بتنزيل الملفات إلى مجلد منفصل بدلاً من سطح مكتب المستخدم كطريقة لتجنب بعض مشكلات الأمان. بالإضافة إلى ذلك ، قالت إن المستخدمين يمكنهم ضبط المتصفح ليطلبوا منه حفظ كل ملف قبل تنزيله.

كما أنها لم تقل ما إذا كانت Google تنوي الترقية إلى أحدث إصدار من WebKit ، والذي يعالج المشكلة من خلال عرض مربع الحوار لملفات JAR التي تسأل المستخدمين عما إذا كانوا يريدون تنزيلها.