조기 보안 문제로 인해 Google 크롬이 손상됨

보안 연구원이 Google 새로운 웹 브라우저가 베타 버전으로 출시 된 다음 날.

하나의 취약점으로 인해 해커가 브라우저를 다운시킬 수 있습니다. 보안 연구원 Rishi Narang은 SecuriTeam 웹 사이트에서이 문제를 설명하고 Evilfingers에 개념 증명을 게시했습니다. Narang에 따르면 해커는 정의되지 않은 처리기와 특정 문자가 포함 된 악성 링크를 만들 수 있습니다. 사용자가 링크를 클릭하면 Chrome이 충돌합니다.

Chrome 앱 사용자가 악의적 인 코드를 다운로드 할 수있는 잠재적으로 더 심각한 취약점이 될 수 있습니다. 문제는 부분적으로는 구글이 취약성을 포함하고있는 애플 사파리 브라우저에서도 사용되는 오픈 소스 브라우저 기술인 WebKit의 이전 버전을 사용하고 있기 때문이다.

연구원 인 아비브 라프에 의해 발견 된 문제는 거짓이다. 크롬이 파일을 다운로드하는 방식과 Windows가 다운로드 한 파일을 처리하는 방식에 대해 그는 말했다.

크롬의 기본 설정은 파일을 폴더로 다운로드한다. 그런 다음 브라우저 페이지 하단에 다운로드 표시 줄을 표시합니다. 사용자가 막대를 클릭하여 파일을 엽니 다. 파일이 실행 파일이면 Windows는 경고 메시지를 표시하여 사용자가 실수로 악성 코드를 다운로드하는 것을 방지 할 수 있습니다. 그러나 파일이 JAR (Java Archive) 인 경우 다른 실행 파일처럼 취급되지 않습니다. 사용자가 다운로드 막대를 클릭하면 경고 표시 대신 Windows가 자동으로 파일을 실행합니다.

다운로드 막대 모양에 따라 문제가 악화됩니다. 막대는 웹 페이지의 일부인 것처럼 보입니다. Raff가 올린 개념 증명에서 사용자는 다운로드 한 파일을 열지 않고 페이지의 링크 나 버튼을 클릭한다고 생각할 수 있습니다.

"다시 한 번 '혼합 된 위협'입니다. "그는 블로그 포스트에 썼다. "서로 다른 제품의 두 가지 작은 이슈가 서로 섞이면 훨씬 큰 문제가 발생합니다."그는 Chrome이 Apple의 Safari 및 Mozilla의 Firefox를 포함하여 다른 브라우저의 기술을 사용하기 때문에 향후 다른 유사한 문제에 직면 할 수 있다고 생각합니다.

"보안 현명한, 그것은 매우 문제가있다"Raff가 썼다. "그들은 이러한 기능의 모든 보안 취약성을 추적해야하며 Chrome에서도 이러한 취약점을 수정해야합니다. 이는 다른 공급 업체가 수정 한 취약점이나 공개적으로보고 된 이후 일 것입니다. Chrome 사용자가 장기간 위험에 처하게됩니다 "

Google은이 취약점에 대한 질문이나 잠재적 인 문제를 방지하기 위해 Chrome을 변경할지 여부를 직접 언급하지 않았습니다. 대신 구글 대변인은 성명서에서 크롬이 기본적으로 보안 문제를 피하기 위해 사용자의 데스크톱 대신 파일을 별도의 폴더에 다운로드한다고 밝혔다. 또한 사용자는 브라우저가 다운로드하기 전에 각 파일을 저장할 위치를 묻는 메시지를 표시하도록 설정할 수 있다고 말했다.

또한 Google은 웹킷의 최신 버전으로 업그레이드 할 것인지 여부를 말하지 않았다. 사용자에게 다운로드 할 것인지 묻는 JAR 파일의 대화 상자.