Advarer mot Chrome

Advarer mot Chrome

Et dansk sikkerhetsfirma fraråder bruk av Googles nettleser etter funn av kritiske sikkerhetshull.

Om du bruker Googles nye nettleser Chrome, bør du sjekke versjonen din. Har du build 0.2.149.28, som frem til fredag var ferskeste versjon, har du også en kritisk sårbarhet på datamaskinen din.

Sikkerhetshullet gjør det mulig for en fiendtlig nettside å kjøre programsnutter med samme rettighetter som pålogget bruker, uten at brukeren legger merke til det. Sårbarheten gjør datamaskinen din perfekt til klassiske drive-by-angrep, ifølge det danske it-sikkerhetsselskapet CSIS.

Kjørte kalkulator

SVRT-Bkis, som har dokumentert sårbarheten, har via bevisst fusk i HTML-koden klart å få Chrome til å åpne kalkulator-programmet i Windows. HTML-feilen gir Chrome såkalt buffer overflow, hvilket forenklet sagt overfyller minnet som er avsatt til Chrome, som åpner muligheten for å kjøre inn annen kode i minneplasser i nærheten. Det er når brukeren velger "Save as" på en slik html-fuskeside at feilen inntreffer.

Sjekk trikset her om du har build 0.2.149.28

Les mer om buffer overflow på Wikipedia

Les om selve sårbarheten

Ringer hjem

Men ikke nok med det. CSIS har ifølge Comon.dk funnet noe annet mystisk i nettleserens oppførsel. Ifølge sikkerhetsfirmaet inneholder nettleseren en spionlignende funksjon som nærmest minner om et rootkit – altså muligheten for å ta kontroll over brukerens datamaskin med en administrators rettigheter.

- Hos CSIS har vi testet Chrome og kan bekrefte at den ringer hjem, selv uten å være aktivert, skriver CSIS på sine nettsider.

Selskapet fraråder folk i bedrifter eller produksjonsbedrifter å bruke programvare i beta-stadiet, og fraråder også spesifikt å bruke Chrome inntil den foreligger i en mer stabil versjon.

Google har bekreftet sårbarheten og sendt ut en oppdatering av nettleseren. Den kan du laste ned her.

Les om: