599 ö Ç â + î Å S06E02 Ü + + ¦ å ì + + à +, £ + + + ¦ ¦ + º ¦ + ¦ + ¦ Ç ¦ + ¦ + Ç Å é ö Ç â
ベータ版でリリースされた翌日の新しいWebブラウザ。
1つの脆弱性により、ハッカーがブラウザをクラッシュさせる可能性がある。セキュリティ研究者のRishi NarangはSecuriTeamのWebサイトでこの問題を説明し、Evilfingersに概念証明を掲載しました。 Narangによると、ハッカーは未定義のハンドラと特定の文字を含む悪意のあるリンクを構築する可能性があります。ユーザーがリンクをクリックすると、Chromeがクラッシュします。
さらに深刻な脆弱性が存在する可能性があるため、Chromeユーザーは悪意のあるコードをダウンロードする可能性があります。問題は、部分的には、GoogleがAppleのSafariブラウザでも使用されている、WebKitの古いバージョン(この脆弱性を含む)を使用していることに起因する。
研究者のAviv Raffによって発見された問題は、 Chromeがファイルをダウンロードする方法とWindowsがダウンロードしたファイルを処理する方法については、
Chromeのデフォルト設定では、ファイルがフォルダにダウンロードされます。その後、ブラウザページの下部にダウンロードバーが表示されます。ユーザーはバーをクリックしてファイルを開きます。ファイルが実行ファイルである場合、Windowsは警告を表示します。これにより、悪意のあるコードを誤ってダウンロードするのを防ぐことができます。
ファイルがJAR(Java Archive)の場合、他の実行ファイルと同様に処理されません。ユーザーがそのダウンロードバーをクリックすると警告が表示されるのではなく、自動的にファイルが実行されます。
ダウンロードバーの外観によって問題が悪化します。バーはWebページの一部として表示されます。 Raffが投稿した概念証明では、ダウンロードしたファイルを開くのではなく、リンクやボタンをクリックしていると思うかもしれません。 "これはやはり「ブレンドされた脅威」の一種です。 "彼はブログ記事に書いた。
クロムは、AppleのSafariやMozillaのFirefoxを含むさまざまなブラウザの技術を使用しているため、Googleは他の類似の問題に直面する可能性があると彼は考えています。
「セキュリティは賢明ですが、それは非常に問題があります」とRaff氏は書いています。 「これらの機能のすべてのセキュリティ上の脆弱性を追跡し、Chromeで修正する必要があります。これはおそらく、他のベンダーによって修正されたか、または公に報告された脆弱性の後でしかないでしょう。 "
Googleはこの脆弱性に関する疑問や潜在的な問題を防ぐためにChromeを変更する予定かどうかについては直接言及しなかった。代わりに、Googleの広報担当者は声明で、デフォルトでは、セキュリティ上の問題を避けるために、ユーザーのデスクトップではなく別のフォルダにファイルをダウンロードすると述べている。さらに、ユーザーは、ブラウザにファイルをダウンロードする前に各ファイルを保存する場所を設定することができると述べた。
また、GoogleはWebKitの最新バージョンにアップグレードする予定であるかどうかについては言及しなかった。ユーザーにダウンロードするかどうかを尋ねるJARファイルのダイアログボックス