Masalah Keamanan Dini Meminimalkan Google Chrome

Peneliti keamanan telah melaporkan menemukan kerentanan di Google peramban web baru sehari setelah dirilis dalam versi beta.

Satu kerentanan akan memungkinkan peretas meretas peramban. Peneliti keamanan Rishi Narang menggambarkan masalah ini di situs Web SecuriTeam dan memposting bukti konsep di Evilfingers. Menurut Narang, seorang peretas dapat membangun tautan jahat yang mencakup seorang penangan yang tidak jelas diikuti oleh karakter tertentu. Ketika pengguna mengeklik tautan, Chrome mogok.

Kerentanan lain yang berpotensi lebih serius dapat menyebabkan pengguna Chrome mengunduh kode berbahaya. Masalahnya adalah karena, sebagian, fakta bahwa Google menggunakan versi lama WebKit, teknologi browser open-source juga digunakan di browser Safari Apple, yang mencakup kerentanan.

Ditemukan oleh peneliti Aviv Raff, masalahnya terletak dalam cara Chrome mengunduh file dan cara Windows menangani file yang diunduh, katanya.

Setelan default Chrome mengunduh file ke dalam folder. Ini kemudian menampilkan bilah unduhan di bagian bawah halaman browser. Pengguna mengklik bilah untuk membuka file. Jika file tersebut dapat dieksekusi, Windows akan menampilkan peringatan, yang dapat membantu pengguna menghindari mengunduh kode berbahaya secara tidak sengaja.

Jika file tersebut adalah JAR (Java Archive), bagaimanapun, tidak diperlakukan seperti executable lainnya, kata Raff. Ketika seorang pengguna mengklik pada bilah unduhan itu, alih-alih menampilkan peringatan, Windows secara otomatis menjalankan file.

Masalahnya diperparah oleh tampilan bilah pengunduhan, Raff mengatakan. Bilah tampaknya menjadi bagian dari halaman Web. Dalam bukti konsep yang diposting Raff, pengguna mungkin berpikir mereka mengklik tautan atau tombol di halaman, daripada membuka file yang diunduh.

"Ini lagi semacam 'ancaman campuran', "tulisnya di posting blog. "Dua masalah kecil dalam produk yang berbeda, ketika digabungkan bersama, menciptakan masalah yang jauh lebih besar."

Menurutnya Google mungkin menghadapi masalah lain yang serupa di masa mendatang karena Chrome menggunakan teknologi dari berbagai browser, termasuk Safari Apple dan Mozilla Firefox.

"Keamanan bijaksana, ini sangat bermasalah," tulis Raff. "Mereka harus melacak semua kerentanan keamanan di fitur tersebut, dan memperbaikinya di Chrome juga. Ini mungkin hanya setelah kerentanan tersebut diperbaiki oleh vendor lain atau dilaporkan secara publik. Ini akan membuat pengguna Chrome berisiko untuk waktu yang lama. waktu. "

Google tidak secara langsung menjawab pertanyaan tentang kerentanan ini atau apakah ia berencana untuk melakukan perubahan apa pun ke Chrome untuk mencegah potensi masalah. Sebaliknya, juru bicara Google mengatakan dalam sebuah pernyataan bahwa, secara default, Chrome mengunduh file ke dalam folder terpisah daripada di desktop pengguna sebagai cara untuk menghindari beberapa masalah keamanan. Selain itu, dia mengatakan bahwa pengguna dapat mengatur browser untuk bertanya di mana untuk menyimpan setiap file sebelum mengunduhnya.

Dia juga tidak mengatakan apakah Google bermaksud untuk meng-upgrade ke versi terbaru WebKit, yang mengatasi masalah dengan menampilkan kotak dialog untuk file JAR bertanya kepada pengguna apakah mereka ingin mengunduhnya.