Google znowu łata dziury w zabezpieczeniach Chrome'a

Nie minęło 12 dni od załatania ostatniej krytycznej luki w przeglądarce Google Chrome 2, a już jej twórcy muszą poprawiać kolejne niedoskonałości. Tym razem luka jest na tyle poważna, że sam Google wprowadził informacyjne embargo na szczegóły jej dotyczące i zamierza je wycofać dopiero wtedy, kiedy większość użytkowników zaktualizuje swoje przeglądarki do oczyszczonej z błędów wersji 2.0.172.33.

Udało się jedynie ustalić, że niektóre odpowiedzi HTTP ze strony serwera mogą prowadzić do przepełnienia bufora. Napastnicy mogą w ten sposób przemycić do systemu swój kod, a następnie wykonać go na prawach użytkownika –. wszystko wskazuje na to, że piaskownica (sandbox) Chrome'a nie chroni przed takim zagrożeniem.

W swoim czasie Google postawił sobie za cel stworzenie szybkiej, przyjaznej dla użytkownika i bezpiecznej przeglądarki. Co do bezpieczeństwa, to wydaje się, że na razie producent jest daleki od osiągnięcia tego celu, mimo bardzo dobrze opracowanego procesu poprawy bugów. Na szczęście dzięki swoim tzw. cichym aktualizacjom jedynie niewielki odsetek użytkowników Chrome'a porusza się w Internecie za pomocą wersji przeglądarki narażonej na ataki.

Instalacja nowego wydania eliminuje opisywany problem. Programiści w nowej wersji usunęli też dwa kolejne błędy związane z protokołem SSL, które jednak nie mają związku z bezpieczeństwem.

wydanie internetowe www.heise-online.pl