Google Chromeに最初の脆弱性発見

早いなあ。

ZDNetによると、Google Chrome公開から数時間のうちに、警告無しにユーザにJavaアプリケーションを実施させる脆弱性を見つけた人がいたようだ。

google-chrome-vulnerability-demo.png

ブラウザウィンドウの最下部にダウンロードされたjarファイル(Javaアプリケーション)が任意の文字(jarファイルのファイル名)で表示され、そこをクリックするとJavaアプリケーションが実行される。デモも用意されていて、デモではノートパッド風のアプリケーションが起動するが(Jarファイルは警告無くダウンロードされてしまうので注意のこと)、これをユーザが誤認するようなウィンドウとして開けば、そこからまずい操作をさせてしまえる、というもの。

まあ、Chromeのダウンロード結果表示がどんなインタフェースなのか慣れてない今だからこそ引っ掛けられるのかもしれないけど。

同じエンジンを使っているAppleのSafariブラウザでは既に修正済らしい。

[追記]

具体的にどうするか、だけど、修正前のChromeを使っている人は、画面最下部に上の画像のようなダウンロードボックスが出てきて、そのボタンに何かクリックを促すメッセージが書いてあったとしても、自分で意識してファイルをダウンロードした記憶が無ければ、押さないこと、かなあ。(違ってたら教えてください)

# 使わずに様子を見る、でもいいけど

早速Googleによるアップグレードがされそうな情勢なので、Chromeの新バージョンはどう通知されて、どう更新されるのかもすぐに見られるのではないだろうか。

Safariより古いWebKitを使ってるという話はdrikinさんのところでも出てる。

via ReadWriteWeb

この記事は移転前の古いURLで公開された時のものです

  • ブックマークが新旧で分散している場合があります。
  • 移転前は現在とは文体が違い「である」調です。(参考)
  • 記事の内容が古くて役に立たなくなっている、という場合にはコメントやツイッターでご指摘いただければ幸いです。最新の状況を調べて新しい記事を書くかもしれません

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください