Aktualizacja zabezpieczeń dla przeglądarki Google Chrome
Korporacja Google przygotowała aktualizację zabezpieczeń 1.0.154.59 dla swojej przeglądarki Chrome naprawiającą krytyczne luki. Przyczyną problemów jest nieprawidłowe przetwarzanie adresów URI specyficznych dla przeglądarki Chrome chromehtml: – ale tylko wtedy, jeśli są one otwierane za pomocą Internet Explorera.
Korporacja Google przygotowała aktualizację zabezpieczeń 1.0.154.59 dla swojej przeglądarki Chrome naprawiającą krytyczne luki. Przyczyną problemów jest nieprawidłowe przetwarzanie adresów URI specyficznych dla przeglądarki Chrome chromehtml: – ale tylko wtedy, jeśli są one otwierane za pomocą Internet Explorera.
Dla przykładu przetworzenie polecenia JavaScript:
document.location = 'chromehtml:"8. javascript:eval('alert(\'JavaScript%20Code%20Executed\'); '))
;'
W Internet Explorerze powoduje, że Chrome zostaje uruchomiony z dwoma kartami, a w jednej z nich wykonywany jest załączony kod JavaScript. Skrypt ten nie jest jednak powiązany z żadną domeną, w wyniku czego według opisu w połączeniu z inną luką możliwe jest obejście zabezpieczeń Same Origin Policy i dostęp do innych domen. Twórcy przeglądarki określają lukę w swoim raporcie jako Universal Cross Site Scripting (UXSS), ponieważ można ją stosować na dowolnych stronach lub domenach.
W ten sposób napastnicy mogą wykradać pliki cookie użytkownika i przeprowadzać ataki phishingowe. Atak jednak jest skuteczny tylko wtedy, kiedy przeglądarki Chrome wcześniej nie uruchomiono. Aktualizacje dla wersji 1.x można pobrać przez Google Chrome –. informacje w opcjach przeglądarki.
Jeszcze w lutym okazało się, że równoległa instalacja Internet Explorera i Chrome'a może powodować problemy w zabezpieczeniach. Wtedy możliwe było wykonywanie poleceń na danym systemie Windows i uruchamianie w ten sposób programów.
wydanie internetowe www.heise-online.pl
