นักวิจัยพบปัญหาความปลอดภัยสองเรื่องด้วยเบราว์เซอร์ Chrome ใหม่ของ Google

ช่องโหว่หนึ่งช่องโหว่จะทำให้แฮกเกอร์สามารถขัดขวางเบราเซอร์ได้ นักวิจัยด้านความมั่นคง Rishi Narang ได้กล่าวถึงประเด็นนี้ในเว็บไซต์ SecuriTeam และโพสต์ข้อพิสูจน์เกี่ยวกับแนวคิดที่ Evilfingers ตามที่ Narang แฮกเกอร์สามารถสร้างลิงก์ที่เป็นอันตรายซึ่งมีตัวจัดการที่ไม่ได้ระบุไว้ตามด้วยอักขระบางตัว เมื่อผู้ใช้คลิกลิงก์ Chrome ล่ม

อีกช่องโหว่อาจทำให้ผู้ใช้ Chrome ดาวน์โหลดโค้ดที่เป็นอันตราย ปัญหาส่วนหนึ่งมาจากข้อเท็จจริงที่ว่า Google ใช้ WebKit รุ่นเก่าซึ่งเป็นเทคโนโลยีเบราเซอร์แบบโอเพนซอร์สที่ใช้ในเบราว์เซอร์ Safari ของ Apple ซึ่งรวมถึงช่องโหว่

ค้นพบโดยนักวิจัย Aviv Raff ปัญหานี้เกิดขึ้น ในแบบที่ Chrome ดาวน์โหลดไฟล์และวิธีที่ Windows จัดการไฟล์ที่ดาวน์โหลดไว้เขากล่าว

การตั้งค่าเริ่มต้นของ Chrome จะดาวน์โหลดไฟล์ลงในโฟลเดอร์ จากนั้นจะแสดงแถบดาวน์โหลดที่ด้านล่างของหน้าเว็บเบราเซอร์ ผู้ใช้คลิกที่แถบเพื่อเปิดไฟล์ หากไฟล์เป็นไฟล์ปฏิบัติการ Windows จะแสดงคำเตือนซึ่งจะช่วยให้ผู้ใช้หลีกเลี่ยงการดาวน์โหลดโค้ดที่เป็นอันตรายได้โดยไม่ตั้งใจ

ถ้าไฟล์เป็น JAR (Java Archive) แต่จะไม่ถือว่าเป็นไฟล์ปฏิบัติการอื่น ๆ Raff กล่าว เมื่อผู้ใช้คลิกที่แถบดาวน์โหลดนั้นแทนที่จะแสดงคำเตือน Windows จะเรียกใช้ไฟล์โดยอัตโนมัติ

ปัญหานี้ทวีความรุนแรงขึ้นโดยวิธีการดาวน์โหลดแถบค้นหา Raff กล่าว แถบปรากฏเป็นส่วนหนึ่งของเว็บเพจ ในการพิสูจน์แนวคิดว่า Raff โพสต์ผู้ใช้อาจคิดว่าพวกเขาคลิกที่ลิงค์หรือปุ่มบนหน้าเว็บแทนที่จะเปิดไฟล์ที่ดาวน์โหลดมา

"นี่เป็นอีกหนึ่ง 'ภัยคุกคามแบบผสมผสาน' "เขาเขียนในโพสต์บล็อก "ปัญหาเล็ก ๆ สองข้อในผลิตภัณฑ์ต่างๆเมื่อผสมเข้าด้วยกันก่อให้เกิดปัญหาใหญ่ขึ้น"

เขาคิดว่า Google อาจประสบกับปัญหาอื่น ๆ ที่คล้ายคลึงกันในอนาคตเนื่องจาก Chrome ใช้เทคโนโลยีจากเบราว์เซอร์อื่นรวมถึง Safari ของ Apple และ Mozilla Firefox

"ความปลอดภัยก็เป็นปัญหามาก" ราฟฟ์เขียน "พวกเขาจะต้องติดตามช่องโหว่ด้านความปลอดภัยทั้งหมดในคุณลักษณะเหล่านั้นและแก้ไขปัญหาเหล่านี้ใน Chrome ด้วยซึ่งอาจเป็นเพียงหลังจากช่องโหว่เหล่านี้ได้รับการแก้ไขโดยผู้ให้บริการรายอื่นหรือได้รับการรายงานแบบสาธารณะแล้วจะทำให้ผู้ใช้ Chrome มีความเสี่ยงเป็นเวลานาน เวลา "

Google ไม่ได้ตอบคำถามโดยตรงเกี่ยวกับช่องโหว่นี้หรือไม่ว่าจะมีการวางแผนเปลี่ยนแปลง Chrome เพื่อป้องกันไม่ให้เกิดปัญหาใด ๆ แทนที่จะเป็นโฆษกของ Google กล่าวในข้อความว่าโดยค่าเริ่มต้น Chrome จะดาวน์โหลดไฟล์ลงในโฟลเดอร์แยกต่างหากแทนบนเดสก์ท็อปของผู้ใช้เพื่อหลีกเลี่ยงปัญหาด้านความปลอดภัยบางอย่าง นอกจากนี้เธอยังบอกด้วยว่าผู้ใช้สามารถตั้งค่าเบราเซอร์เพื่อขอให้บันทึกไฟล์แต่ละไฟล์ก่อนที่จะดาวน์โหลดได้

เธอยังไม่ได้กล่าวว่า Google มีแผนที่จะอัพเกรดเป็น WebKit รุ่นล่าสุดซึ่งจะแก้ปัญหาด้วยการแสดง กล่องโต้ตอบสำหรับไฟล์ JAR ถามผู้ใช้หากต้องการดาวน์โหลด