Op de beveiligingsportal EvilFingers wordt melding gedaan van een bug in Chrome waarbij alle tabs crashen zodra de gebruiker op een speciaal vormgegeven link klikt. De browser crasht al wanneer een gebruiker zijn muis over de link heen beweegt. Alle tabbladen worden afgesloten en er verschijnt een melding: "O Jee! Google Chrome is vastgelopen. Nu herstarten?"

Hiermee verliest Chrome een klein beetje van zijn glans. Tijdens de presentatie van de browser pochtte Google juist dat elk tabblad in een geïsoleerd proces is gehuisvest. Een crash van een tab zou de overige tabs daarom niet mogen beïnvloeden. De pagina op EvilFingers.com bewijst echter het tegendeel: de foutieve link zorgt ervoor dat met een crash alle tabbladen worden gesloten. Wanneer Chrome opnieuw wordt gestart worden de tabbladen niet hersteld.

Saillant detail is dat Chrome niet crasht wanneer er met de tab-toets wordt genavigeerd tussen de links in een webpagina. Als de foutieve link wordt geselecteerd gebeurt er niets en ook als er op 'enter' wordt gedrukt wanneer de link is geselecteerd verschijnt er simpelweg een melding van een Extern Protocolverzoek.

Carpet-bombing

Dit is echter niet de enige kwetsbaarheid die is ontdekt in Chrome. ZDnet maakt melding van een andere kwetsbaarheid die Chrome ontvankelijk maakt voor een zogeheten 'tapijtbom'. Onderzoeker Avi Raff toont aan dat hij twee kwetsbaarheden met elkaar kan combineren: een lek in het open source Webkit platform en een Java bug die eerder dit jaar is aangetoond op de Black Hat conferentie. Door de twee te combineren kan een aanvallen direct vanuit de browser een programma opstarten, zoals spyware of andere malware.

Op deze pagina toont Raff een onschadelijk voorbeeld van de kwetsbaarheid. Door op een link te klikken wordt er een Java Archive gedownload waarmee er een willekeurig programma (in dit geval notepad) worden opgestart vanuit de browser zelf.