Przez Google Chrome można "zbombardować" system

Od kilku dni w Sieci mówi się głównie o nowej przeglądarce Google'a - Chrome. Programem zainteresowali się oczywiście nie tylko zwykli użytkownicy czy konkurenci, ale także specjaliści z zakresu bezpieczeństwa - i już raportują oni pierwsze problemy z produktem Google'a. Okazało się np., że Chrome jest podatny na tzw. bombardowanie dywanowe, czyli atak polegający na zmuszeniu przeglądarki do pobrania i uruchomienia złośliwego pliku osadzonego na stronie WWW.

Szczegółowy raport na temat tego problemu przygotował znany izraelski ekspert z zakresu bezpieczeństwa, Aviv Raff. Z jego analiz wynika, że atak typu "carpet bombing" może zostać przeprowadzony, ponieważ Google Chrome korzysta ze starej wersji WebKita (opensource'owego mechanizmu renderowania stron WWW, znanego choćby z Safari Apple'a). Raff przygotował już zresztą przykładowego exploita, demonstrującego podatność przeglądarki Google'a na taki atak.

"To typowy przykład zagrożenia "łączonego" - problem z zabezpieczeniami Google Chrome nie jest konsekwencją pojedynczego błędu w aplikacji. To raczej efekt kilku różnych błędów, które samodzielnie nie są szczególnie niebezpieczne, ale wspólnie mogą zostać wykorzystane do przeprowadzenia skutecznego ataku" - tłumaczy Aviv Raff. Specjalista przypomniał też, że wcześniej na taki atak byli już narażeni użytkownicy, korzystający w systemie Windows z przeglądarki Safari - wtedy na bombardowanie dywanowe narażała użytkowników kombinacja luk w programie Apple'a oraz Internet Explorerze Microsoftu.

"W przypadku Chrome mamy do czynienia z inną kombinacją błędów - aczkolwiek jeden element jest wspólny. Występuje tu połączenie luki pozwalającej na automatyczne pobieranie plików przez przeglądarkę z błędem projektowym interfejsu - co sprawia, że Chrome może bez żadnego ostrzeżenia czy komunikatu uruchomić plik JAR pobrany z Internetu" - tłumaczy Izraelczyk. Chodzi o to, że przeglądarką może sama pobrać plik - co prawda program samodzielnie go nie uruchomi, ale pewna cecha interfejsu Chrome sprawia, że użytkownik może zrobić to przypadkiem.

Przypomnijmy: luka pozwalająca na tzw. bombardowanie dywanowe została wykryta na początku maja przez Nitesha Dhanjani - dowiódł on, iż możliwe jest stworzenie strony WWW, która sama "wrzuci" na dysk komputera z systemem Windows i przeglądarką Safari plik i uruchomi go bez pytania o zgodę użytkownika. Było to możliwe, ponieważ Safari domyślnie nie pytała użytkownika, czy chce pobrać dany plik (Apple później poprawił swój program). Początkowo wydawało się, że sama luka nie jest specjalnie groźna, ponieważ do ataku mogło dojść tylko w dość specyficznych okolicznościach - później jednak okazało się, że jeśli "napastnik" wykorzysta dodatkowo pewien błąd w zabezpieczeniach IE, to atak staje dużo łatwiejszy do przeprowadzenia. O błędzie tym pisaliśmy m.in. w tekście "StopBadware.org: Apple, tę dziurę trzeba załatać!".

Problem został rozwiązany wraz z udostępnieniem przez Apple nowej Werski Safari - 3.1.2. Zastosowano w niej uaktualnioną wersję WebKita (czyli silnika renderującego strony). Ten sam mechanizm jest wykorzystywany w Chrome Google'a - niestety, firma zastosowała w swojej przeglądarce starszą wersję Webkita, która wciąż jest podatna na taki atak. Warto jednak przypomnieć, że Chrome jest na razie dostępny w wersji beta - być może w wydaniu finalnym problem zostanie rozwiązany.

Więcej informacji o Google Chrome można znaleźć w tekście "7 powodów, dla których warto zakochać się w Google Chrome".