Spoofinglek in Google Chrome
Gepubliceerd: Maandag 27 oktober 2008
Auteur: Maarten Reijnders
Er zit een nieuw lek in Chrome, de browser van Google. Aanvallers kunnen dankzij de kwetsbaarheid webadressen spoofen.
Dat betekent dat gebruikers van Chrome ten onrechte kunnen denken dat ze op de site van een bank, webwinkel of Google zitten, terwijl ze in werkelijkheid de pagina van een aanvaller bezoeken. Google is op de hoogte van de bug en belooft op korte termijn een update naar zijn gebruikers te sturen.
Het lek is ontdekt door Liu Die Yu van het security-onderzoekslab TopsecTianRongXin in Peking. Op zijn website heeft hij een proof of concept geplaatst. Deze poc toont aan dat het mogelijk is om in de adresbalk van Chrome een ander adres (in het poc-voorbeeld een pagina op de site van het Better Business Bureau, bbb.org) te tonen dan de pagina waarop de gebruikers zich daadwerkelijk bevindt.
Volgens de onderzoeker is de kwetsbaarheid het gevolg van tekortschietende code die de programmeurs van Google hebben gebruikt. Hoewel Safari dezelfde engine gebruikt, is de browser van Apple niet getroffen door een vergelijkbaar lek, mailt Liu Die Yu aan The Register.
Chrome heeft te kampen met meer beveiligingsproblemen. Vorige week bracht Google een patch uit voor Chrome die alleen werd verstrekt aan de gebruikers van de ontwikkelaarsversie van browser. De ontdekker van het lek waarvoor de patch was bedoeld, noemde de fix echter 'niet goed genoeg'.
