Google a reparat importante "găuri" de securitate din Chrome

Google a lansat o nouă versiune a browser-ului Chrome, care rezolvă o importantă problemă de securitate, care permite atacurile de tip cross-site.

Problema de securitate a fost raportată pe 8 aprilie de Roi Saltzman de la IBM Rational Application Security Research Group, versiunile afectate fiind 1.0.154.55 şi cele anterioare. Aceasta permitea atacurile cross-site scripting (XSS) - vulnerabilitate care afectează aplicaţiile web şi care permite atacatorilor injectarea de cod în paginile web vizitate de alţi utilizatori, permiţând în acest fel o varietate de atacuri, cum ar fi phishingul sau furtul de identitate.

Mark Larson, program manager Google Chrome, a descris problema pe blogul său ca „o eroare de manipulare a URL-urilor care folosesc protocolul chromehtml: protocolul poate permite unui atacator să ruleze script-urile pe care le doreşte, pe fiecare pagină, sau să citească fişiere pe discul local al victimei, în anumite condiţii.

Dacă utilizatorul are instalat Google Chrome, vizitarea unei pagini web controlată de atacator cu Internet Explorer poate determina browserul Google să pornească, să deschidă mai multe tab-uri, să încarce script-uri care redirecţionează utilizatorul către un URL ales de atacator. Acest tip de atac funcţionează numai în condiţiile în care Chrome nu este pornit.

Pentru a rezolva această problemă Google a executat actualizarea automată la noua versiune 1.0.154.59. Pentru a se finaliza actualizarea,  software-ul trebuie să fie repornit.


Sursa: Google News