Attaccanti possibile combinare il mese-vecchio "bombardare a tappeto" bug con un altro difetto divulgate il mese scorso per ingannare le persone in esecuzione del marchio di Google Chrome, browser nuovo in download e l'avvio di codice maligno, un ricercatore di sicurezza ha messo in guardia. Gli attacchi sono possibili perché Google ha utilizzato una vecchia versione di WebKit, il motore di rendering open-source che anche i poteri Safari di Apple, come la fondazione di Chrome, ha affermato ricercatore israeliano Aviv Raff il Mercoledì.
Raff pubblicato un proof-of-concept exploit per dimostrare come gli hacker potrebbe creare una nuova "minaccia blended" - così chiamato perché si basa su vulnerabilità multiple - per attaccare Chrome.
"Questo è diverso dal Safari / IE minaccia blended", ha detto Raff in una intervista condotta tramite la messaggistica istantanea. "E 'una miscela diversa, con una componente simile. Esso utilizza il download automatico di vulnerabilità (aka 'Carpet Bomb') in combinazione con una interfaccia [user] difetto di progettazione e di un problema con Java che non visualizza un messaggio di avviso per l'esecuzione del JAR file scaricati da Internet. "Riferimento a Raff precedente Safari / IE minaccia blended era alla sua relazione di maggio, che ha detto che un bug nel browser Safari di Apple potrebbe essere accoppiato con una vulnerabilità senza patch in Microsoft Internet Explorer (IE) per compromettere i PC Windows.
La bomba "tappeto" bug, rivelata da ricercatore Nitesh Dhanjani maggio e prende il nome dal modo in cui potrebbe essere utilizzata per eseguire il dump dei file sul desktop di Windows, derivava dal fatto che Safari non ha richiesto il permesso di un utente a scaricare un file. Attaccanti, Dhanjani ha detto, potrebbero popolare un sito "maligno" con il codice canaglia che Safari sarebbe scaricare automaticamente sul desktop, dove si potrebbe tentare un utente curioso in apertura del file.
Dopo la prima recalcitranti - per una volta ha rifiutato il classificare la falla come una vulnerabilità di sicurezza - Apple patchato il bug a metà giugno con l'aggiornamento di Safari 3.1.2.
Raff combinato l'ancora-ci bug bombardare a tappeto con un altro riportato da sede nel Regno Unito penetrazione tester Petko Petkov in occasione della conferenza di sicurezza Black Hat mese scorso. Al momento, Petkov ha sottolineato come una falla Java consente a Windows di eseguire automaticamente i file JAR senza chiedere o che avvisa l'utente.
Chrome contribuisce anche al problema, ha detto che Raff, facendo apparire i file scaricati come pulsanti nella parte inferiore della cornice del browser. "Un clic su questo pulsante per eseguire il file", Raff ha detto. I pirati informatici potrebbero luogo malware su un sito "maligno", quindi attendere - o, meglio ancora, disegnare - gli utenti che utilizzano Chrome. Il browser non avvertire l'utente del file JAR automaticamente scaricato dal sito, e il pulsante indicatore in stile Chrome potrebbe essere facilmente scambiato per una parte della domanda.
Gli utenti possono impostare un'opzione in Chrome, che finiranno per vanificare Raff exploit da spuntando un avvertimento per chiedere un nome e un percorso per ogni file scaricato. Per cambiare Chrome, selezionare Opzioni sotto la Customize "e di controllo di Google Chrome" menu, il menu è a destra, vicino al top, e anche se non di nome, si presenta come una chiave di piccole dimensioni. Avanti, fare clic sul "Piccoli ritocchi" nella finestra Opzioni, quindi selezionare la casella che recita: "Chiedi dove salvare ogni file prima di scaricarlo."
La minaccia blended, Raff ha sostenuto, illustra un problema più grande per Chrome, che ha preso in prestito da entrambe le componenti di Safari - via WebKit - così come pezzi imprecisato di open-source di Mozilla Firefox.
Chiamando l'approccio "problematico" dal punto di vista della sicurezza, Raff si chiedeva quanto tempo Google sarà in grado di patch problemi in Chrome.
"Dovranno tenere traccia di tutte le vulnerabilità di sicurezza in quei [in prestito] caratteristiche, e correggerli in Chrome troppo", Raff ha detto nel post del blog in cui spiega dettagliatamente più in dettaglio del Cromo / Java minaccia blended. "Questo sarà probabilmente solo dopo che tali vulnerabilità sono stati stabiliti dalle altri fornitori o sono stati riportati pubblicamente. Esso metterà utenti di Chrome a rischio per molto tempo. "
Di Gregg Keizer, Computerworld (USA)
