3 de Septiembre de 2008
Google Chrome y su primer vulnerabilidad = “Carpet Bomb”.
Hace solo unas horas en un post anterior les contaba del lanzamiento de la primera beta de Google Chrome el nuevo navegador de Google. Ahora leyendo en el blog de Znet me entero de que ya se le detectó su primer vulnerabilidad en sus primeras 24 hrs de vida, debido a la utilización de una versión vieja de motor Webkit que utiliza Google Chrome.
El investigador “Aviv Raff” descubrió que podía explotar el una vulnerabilidad en Chrome por medio de “Carpet Bomb”, un problema que tenían las versiones anteriores del navegador de Apple Safari en combinación con un error en Java dejando a los usuarios de Windows expuestos a ataques de hackers maliciosos.
Aviv Raff ha creado una demo de prueba de concepto inofensiva en la que se demuestra como los usuarios de Chrome pueden ser engañados para descargar y ejecutar archivos JAR (Java) sin ninguna advertencia del navegador, aprovechándose del un fallo en el Webkit y Java.
La siguiente imagen muestra un supuesto Chrome infectado:
..
..
Este exploit requiere de la intervención del usuario para lograr su cometido y que el malware pueda infectar nuestro sistema, pero esto es bastante fácil de lograr con un poco de ingeniería social por lo que bastarían solo dos clics en una página maliciosa para infectarnos.
Por ahora no hay ningún reporte oficial de la gente de Google, pero tratándose de un problema que ya fue corregido anteriormente en Safari y al estar en una versión BETA de este no creo que tarden mucho en solucionarlo, solo que el Sr Raff les ha cagado embarrado su día de lanzamiento triunfal y seguramente a esta ahora están sonando todos los teléfonos de los desarrolladores de Chrome……
Actualización: Miércoles 3 de Septiembre.
Aparte de la vulnerabilidad descubierta arriba, ahora también me entero mediante el blog de Martín Aberastegue de el Primer Error en Google Chrome.
No es necesario ejecutar códigos complejos ni nada por el estilo, solo basta escribir en la barra de direcciones cualquier palabra seguida de ‘:%‘ (sin comillas) o cliquear en un enlace que lo contenga para que Chrome se cierre mostrándonos un mensaje como este:
Coincido con Martín en cuanto a este es un fallo mínimo propio de cualquier versión de pruebas y que seguramente no les sea muy complicado poder arreglarlo para una próxima actualización.
Al parecer la misma popularidad de Google y la promoción que le esta haciendo a su nuevo navegador esta mostrando muy rápido los bugs encontrados en este, por lo que habrá que estar atentos a ver que mas va surgiendo en las próximas horas.
Enlace de descarga: Google Chrome
Manual de usuario de: Google Chrome
Surf Safely
Malware/IT Threats Researcher - Founder / CEO to InfoSpyware & ForoSpyware
Posts relacionados:
- Google Chrome el nuevo navegador de Google.
- Google Chrome y la realidad de los dimes y diretes.
- Se descubre el primer bug en Firefox 3.0
- 7 parches de seguridad para Windows….
- Nuevo virus para el iPhone / iPod Touch
Comentarios
-
SpamLoco // 3 de Septiembre de 2008
La venía venir, ha pasado con los otros navegadores, con este estaba cantado. Calculo que aparecerán más como dices por la promoción de Google y demás.
Yo estoy esperando que salga el theme “Chrome” para Firefox :P
-
marcela // 5 de Septiembre de 2008
Hola, quería preguntar si el foro de Spyware estará de regreso pronto, porque lo necesito con urgencia :( No quiero formatear mi compu y un troyano me infectó con spyware y el antivirus q tengo no lo puede eliminar…
-
grabiel // 2 de Marzo de 2009
aun sigue el fallo en la version google chrome 2.0.166.1 esto de jar tiene dos fallos en acid 3 linktest failed y en cromion dos ese mas fail en el ultimo reporta ese problema para que lo arreglen no tiene rss atom ni el boton de la pagina principal
no esta para mac linux cuando tenga complementos y extensiones tendra poco ay que esperar tiene incompativilidades con algunas descargas y tienes todos los archivos zip se enpieza a descargar sin que los acetes
y es un poco lento en css abujeros de segurida cada ves menos pero le quedan muy pocos alao de antes tiene algunos fallos le falta para ser un el mejor navegador en 2010 mas o menos y mas cuota mas gente reportando los problemas que encuentren que vayan arreglado cosas asi aque se aga un navegador que vaya con todo y con seguridad la estabilidad de google la rapides de google y mejorar el wedkit que tiene dos fallos y se nota pero pasa el acid 3 100/100 pero con fallo muchos complementos y extensiones que no se ejecute niguna descarga sin acetar o rechazar achirvo bin o zip si reportais los problemas que tiene en paginas o en su sitio de google chrome en la hoja alao de la ave de herramienta en esa oja esta la ocion de cominicar errores o siteos defetuosos y ay en vias el problema por ejemplo envias una pagina que no vaya o tenga un virus o se ve mal o falta imagenes o ace que se cierre lo envias y ya lo arreglaran
ventajas que tendra rss 2 atom antes del 2010 y estara para mac y linux tendra los complementos y extensiones mas necesarios que tiene firefox
y mejorara algonas cosas lo ara mas rapido y mas seguro mas compatible tendra mas cuota ya va por el 3.9% de la cuota del mundo tiene mas gente que opera y safari en menos de un año y opera para tenr el 2% a estado 11 años dando servicios con su navegador
mas usarios mas dinero mas compatiblidad mas gente reportando problema mas compatibilidad porque si es mas usado tanvien adatan las paginas para que vaya para ese navegador y a las pruevan para que se vean bien a google chrome le falta usarios y tiempo y que reporten problemas y virus y sus defetos de no tener el boton de la pagina principal ativado por defeto -
jose // 12 de Marzo de 2009
el la version 2.0.169.0 lo an arreglao ya el fallo porfin
Trackbacks
-
Resumen vulnerabilidades, fallos, desventajas y carencias de Google Chrome | Homotecno // 5 de Septiembre de 2008
-
Especial: Google Chrome | Informatica XP // 5 de Septiembre de 2008
-
Google Chrome y la realidad de los dimes y diretes. | InfoSpyware Blog // 9 de Septiembre de 2008