Vooralsnog is het lek alleen gedicht in de ontwikkelaarsversie van Chrome. Wie geen gebruik maakt van deze developer-only versie van de webbladeraar van Google, moet enige moeite doen om de patch te ontvangen. Met behulp van de Channel Chooser plugin is het mogelijk de browser te resetten zodat de gebruiker in het vervolg alle updates (inclusief die voor de ontwikkelaarsversies) binnenhaalt.

De patch moet een eind maken aan een vorige maand door security-onderzoeker Aviv Raff gedemonstreerd lek. Het veiligheidsprobleem is een combinatie van de 'carpet bomb' bug (waarbij bestanden automatisch worden gedownload) en een andere kwetsbaarheid.

De tapijtbom-bug komt voor bij systemen waarop (een oude versie van) Safari is geïnstalleerd. Dankzij het in mei ontdekte lek kunnen uitvoerbare bestanden automatisch worden gedownload op de pc van een slachtoffer. Apple heeft in juni een oplossing uitgebracht voor het probleem. Internet Explorer en Firefox kwamen in juli met een update zodat hun browsers niet meer kwetsbaar zijn als er nog een oude versie van Safari op de pc aanwezig is. Een week nadat Chrome in september uitkwam, bracht ook Google een workaround uit voor het lek, maar die oplossing was niet afdoende. Met de patch voor het door Raff aan het licht gebrachte lek lijkt Google nu een nieuwe poging te wagen.

Raff verklaart dat Google's oplossing voor zijn lek voorlopig voldoende is, maar ook niet meer dan dat. "De fix is niet goed genoeg", aldus Raff tegenover ComputerWorld. Volgens de Israëlische security-expert zou Google het beleid van andere browsers zoals Internet Explorer en Firefox moeten overnemen. Die plaatsen gedownloade bestanden in een willekeurige directory. Het zou nog beter zijn als Chrome pas bestanden zou downloaden nadat de gebruiker daarvoor het groene licht heeft gegeven. Bron: Techworld