Chrome安全漏洞源自IE
  • 佚名
  • 2009年04月24日 16:05
  • 0

据报道,谷歌Chrome浏览器稳定版(stable)近日为修复一个严重的安全问题升级到了最新的1.0.154.58版。但有趣的是,Chrome的这个安全问题是由微软IE浏览器触发。

据谷歌介绍,该安全问题非常严重,在未做任何事的情况下,Chrome用户就有被普遍跨站脚本攻击(UXSS)的危险。

谷歌关于这个漏洞报告是这样说的:

“当在IE中加载时,一个经过特别设计的HTML页面可以通过任意的URI链接发布谷歌Chrome,而且不需要用户的任何操作。”

如果用户使用IE浏览器进入一个不良网页,用户可能迫使Chrome打开任何一个攻击者希望的页面,甚至是任何的JavaScript页面。这与Mozilla在2007年发布Firefox 2.0.0.5时修复的问题非常相似。

为什么这会在2009年发生在Chrome身上呢?这是谷歌的错,还是微软的错呢?

如果我们一定要找出指责的对象的话,那么先让我们特别关注一下Chrome。

谷歌对这个问题的咨询文件这样指出:

“众所周知,微软IE存在很多漏洞,要求注册的URL处理程序协议存在问题,如chromehtml。它可以构建恶意WEB页,诱使用户访问可触发此漏洞。”

这意味着IE的Chrome URI处理程序缺少请求解析或验证。一般来说,URI处理问题都非常严重,它不只会影响IE浏览器,而且还会影响浏览器处理QuickTime、Flash及其他插件程序。由于IE的URI处理问题,Firefox和QuickTime都曾长时间受过它的影响。

谷歌指出,他们在过去曾经处理过类似的问题,但这次新出现的问题有所不同,“保留空间及引用可能被用来把一个参数打散成数个,这将导致Chrome打开多个标签页。”

据悉,这个安全漏洞只涉及稳定版(stable)Chrome浏览器,还未影响到开发版(dev)和测试版(beta)。

Chrome安全漏洞源自IE

文章纠错

  • 好文点赞
  • 水文反对
观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0