SANS研究人员认为,虽然Chrome刚发表没多久就被发现许多漏洞,但这并没什么大不了,因为这就是推出测试版的用意。
一家越南的资讯安全业者Bach Khoa Internet Security(BKIS)上周五(9/5)表示,Google Chrome浏览器含有缓冲区溢位漏洞,可能导致远端程式攻击甚至让骇客掌控使用者电脑,BKIS并在网站上公布了概念性验证程式。
BKIS说明,使用者在Chrome中执行SaveAs功能时会造成边界错误,一旦使用者储存一个拥有过长主旨的恶意网页时,会造成堆积溢位,并让骇客有机可乘,在使用者电脑中执行任意程式。
因此,骇客可以设计一个恶意网页,诱导使用者造访并储存,这时便能执行藏匿在该网页的恶意程式并藉以掌控使用者电脑。BKIS将此漏洞列为重大(Critical)漏洞。
这并不是Chrome第一个重大漏洞,上周另一名安全研究人员Aviv Raff亦指出Chrome采用旧版的WebKit核心,该核心含有地毯式轰炸(carpet bombing)漏洞,在使用者下载档案时不会出现警告,这可能导致使用者下载大量恶意软体。
Raff认为Chrome将下载档案列于浏览器下方的设计,扩大了此一安全风险,因为使用者可能为误以为该档案仅是附属于浏览网页的一个连结。
SANS研究人员John Bambenek认为,虽然Chrome刚发表没多久就被发现许多漏洞,但这并没什么大不了,因为这就是推出测试版的用意。
Google的Chrome协助中心已列出十多项与Chrome有关的已知问题,部份已提供暂时补救措施,使用者亦可透过该页面提报新的问题。