Google dicht spoofing-lek Chrome
Gepubliceerd: Vrijdag 31 oktober 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Google heeft de derde bètaversie van zijn browser Chrome uitgebracht. De update patcht enkele lekken.
De belangrijkste security-verbetering van versie 0.3.154.9 van Chrome betreft een patch voor een bug die kwaadwillenden in staat stelde om de adressen in de adresbalk te 'spoofen'. Google classificeert dit lek als 'medium'.
Het spoofing-probleem werd onlangs ontdekt door Liu Die Yu van het security-onderzoekslab TopsecTianRongXin in Peking. Op zijn website plaatste hij een proof of concept om duidelijk te maken hoe makkelijk Chrome-gebruikers misleid kunnen worden. Door het lek kunnen gebruikers ten onrechte denken dat ze bijvoorbeeld op de site van een bank zitten, terwijl ze zich in werkelijkheid op een pagina van een cybercrimineel bevinden.
Daarnaast bevat versie 0.3.154.9 van Chrome een patch die Google een week geleden al verstrekte aan de gebruikers van de ontwikkelaarsversie van de browser. De betreffende patch moet een oplossing bieden voor een veiligheidsprobleem dat gebruikmaakt van de 'carpet bomb' bug (waarbij bestanden automatisch worden gedownload) in combinatie met een andere kwetsbaarheid.
De ontdekker van het betreffende combinatielek, de Israëlische security-onderzoeker Aviv Raff, liet vorige week al weten dat hij niet erg onder de indruk is van Google's oplossing.
Bron: Techworld
