• Thứ Ba, 09/09/2008 14:29 (GMT+7)

    Những vấn đề bảo mật đầu tiên trong Google Chrome

    Các nhà nghiên cứu bảo mật đã tiết lộ những lỗ hổng trong trình duyệt Chrome của Google, trong đó có một lỗ hổng có thể cho phép người dùng tải mã độc về.

    Một ngày sau khi được phát hành, các nhà nghiên cứu bảo mật đã thông báo phát hiện những lỗ hổng trong trình duyệt Chrome beta của Google.

    Lỗi bảo mật đầu tiên có thể cho phép hacker làm treo toàn bộ trình duyệt. Nhà nghiên cứu bảo mật Rishi Narang đã công bố lỗi trên website SecuriTeam và đưa mã ví dụ lên trang Evilfingers. Theo ông Narang, hacker có thể tạo nên một liên kết độc hại bao gồm các thành phần xử lý không xác định theo một ký tự nào đó, dẫn dụ người dùng click vào và Chrome sẽ tê liệt.

    Lỗ hổng tiếp theo có mức độ nguy hiểm cao hơn, có thể khiến người sử dụng Chrome tải mã độc về. Nguyên nhân một phần là do Google dùng phiên bản WebKit cũ mắc lỗi bảo mật để phát triển Chrome (WebKit là công nghệ trình duyệt nguồn mở cũng được Apple dùng cho trình duyệt Safari).

    Theo ông Aviv Raff (người khám phá ra lỗi này), trình duyệt Chrome thiết lập mặc định các tập tin được tải (download) về vào trong một thư mục. Khi tải, Chrome hiển thị thanh tình trạng tải ở dưới cùng trình duyệt. Tải về xong, người dùng nhấn vào thanh này để mở tập tin. Nếu tập tin này có dạng thực thi được (như *.exe)  thì Windows hiển thị một cảnh báo để người dùng cảnh giác không tải và kích hoạt mã độc. Tuy nhiên, nếu tập tin thuộc dạng JAR (Java Archive) thì Windows không nhận dạng nó như là một tập tin có dạng thực thi được (*.exe) nên không hề cảnh báo mà thực thi ngay khi người dùng click vào thanh trạng thái tải.

    Vấn đề trở nên trầm trọng khi hacker chỉ việc tạo một thanh giả giống với thanh trạng thái tải, liên kết đến mã độc và nếu người dùng không để ý sẽ ngỡ như là Chrome đã tải xong 1 tập tin rồi vô tư click vào để mở chúng ra.

    Phát ngôn viên của Google chưa đưa ra lời giải thích nào cụ thể nhưng đề nghị người dùng có thể thiết lập trình duyệt để Chrome hỏi người dùng nơi lưu tập tin được tải về. Google cũng chưa thông báo chính thức về việc nâng cấp phiên bản WebKit cho Chrome.


    Bạch Đình Vinh
    Theo IDG News Service, 3/9/2008

    ID: O0809_1