近日谷歌新浏覽器Chrome再次被發現存在一個新安全缺陷。
越南安全公司BKIS最近在谷歌Chrome(版本號0.2.149.27)發現了一個安全漏洞,在其公司網站上貼出了相關詳細信息。據該公司稱,該漏洞屬於典型的緩沖區溢出缺陷,黑客可利用它執行遠程攻擊並獲得受影響系統的完全控制權。
BKIS在其網站上解釋說,該安全缺陷是用戶在使用“SaveAS(另存為)”功能時發生的一個邊界錯誤所觸發的。當用戶在保存一個具有超長title的惡意網頁時,浏覽器會被引發堆棧溢出,攻擊者可趁機在用戶系統上執行任意代碼。
也就是說要想成功利用這個安全缺陷,攻擊者需要做到兩點:1、誘騙人們訪問一個定制的惡意網頁;2、誘騙用戶保存這個網頁。
BKIS表示它已經將該安全缺陷的信息提交給Google,在未來的版本中該問題或將得到解決。
BKIS已經在其網站上發布了驗證這個安全缺陷的演示代碼。
谷歌本周二推出了它自己浏覽器的測試版,同時提供了很多示例,以證明這個新浏覽器比市場上其它浏覽器更快速、更安全。
然而,盡管這個浏覽器在吸引了很高人氣的同時也引起了很多安全專家的好奇心,隨之相繼曝出了幾個安全故障。
首先是在該浏覽器發布當日,安全專家Aviv Raff發現,如果黑客把開源WebKit引擎中的一個安全缺陷和一個Java漏洞組合使用的話,就可以在Chrome用戶計算機上安裝惡意軟件。
隨後另一個安全專家Rishi Narang發現,黑客可以建立一個惡意鏈接,其中包括一個未定義的具有某些特性的處理。當用戶點擊鏈接,Chrome浏覽器就會崩潰。Narang在Securiteam網站上發布了該問題的概念驗證代碼。
另外,兩個其它的Chrome漏洞目前已被公布著名的Milw0rm.com安全漏洞網站上。其中一個漏洞可被黑客利用來悄悄下載惡意軟件到用戶計算機上
