Chrome被找到第二个漏洞
  • 转载
  • 2008年09月08日 22:38
  • 0

SANS研究人员认为,虽然Chrome刚发表没多久就被发现许多漏洞,但这并没什么大不了,因为这就是推出测试版的用意。

一家越南的资讯安全业者Bach Khoa Internet Security(BKIS)上周五(9/5)表示,Google Chrome浏览器含有缓冲区溢位漏洞,可能导致远端程式攻击甚至让骇客掌控使用者电脑,BKIS并在网站上公布了概念性验证程式。

BKIS说明,使用者在Chrome中执行SaveAs功能时会造成边界错误,一旦使用者储存一个拥有过长主旨的恶意网页时,会造成堆积溢位,并让骇客有机可乘,在使用者电脑中执行任意程式。

因此,骇客可以设计一个恶意网页,诱导使用者造访并储存,这时便能执行藏匿在该网页的恶意程式并藉以掌控使用者电脑。BKIS将此漏洞列为重大(Critical)漏洞。

这并不是Chrome第一个重大漏洞,上周另一名安全研究人员Aviv Raff亦指出Chrome采用旧版的WebKit核心,该核心含有地毯式轰炸(carpet bombing)漏洞,在使用者下载档案时不会出现警告,这可能导致使用者下载大量恶意软体。

Raff认为Chrome将下载档案列于浏览器下方的设计,扩大了此一安全风险,因为使用者可能为误以为该档案仅是附属于浏览网页的一个连结。

SANS研究人员John Bambenek认为,虽然Chrome刚发表没多久就被发现许多漏洞,但这并没什么大不了,因为这就是推出测试版的用意。

Google的Chrome协助中心已列出十多项与Chrome有关的已知问题,部份已提供暂时补救措施,使用者亦可透过该页面提报新的问题。

文章纠错

  • 好文点赞
  • 水文反对
观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0