« Google Suggestで一文字入れたら出てくる単語のリスト | メイン | meetupによるオフ会のススメ »

2008年09月03日

Google Chromeに最初の脆弱性発見

早いなあ。

ZDNetによると、Google Chrome公開から数時間のうちに、警告無しにユーザにJavaアプリケーションを実施させる脆弱性を見つけた人がいたようだ。

google-chrome-vulnerability-demo.png

ブラウザウィンドウの最下部にダウンロードされたjarファイル(Javaアプリケーション)が任意の文字(jarファイルのファイル名)で表示され、そこをクリックするとJavaアプリケーションが実行される。デモも用意されていて、デモではノートパッド風のアプリケーションが起動するが(Jarファイルは警告無くダウンロードされてしまうので注意のこと)、これをユーザが誤認するようなウィンドウとして開けば、そこからまずい操作をさせてしまえる、というもの。

まあ、Chromeのダウンロード結果表示がどんなインタフェースなのか慣れてない今だからこそ引っ掛けられるのかもしれないけど。

同じエンジンを使っているAppleのSafariブラウザでは既に修正済らしい。

[追記]

具体的にどうするか、だけど、修正前のChromeを使っている人は、画面最下部に上の画像のようなダウンロードボックスが出てきて、そのボタンに何かクリックを促すメッセージが書いてあったとしても、自分で意識してファイルをダウンロードした記憶が無ければ、押さないこと、かなあ。(違ってたら教えてください)

# 使わずに様子を見る、でもいいけど

早速Googleによるアップグレードがされそうな情勢なので、Chromeの新バージョンはどう通知されて、どう更新されるのかもすぐに見られるのではないだろうか。

Safariより古いWebKitを使ってるという話はdrikinさんのところでも出てる。

via ReadWriteWeb

投稿者 秋元 : 2008年09月03日 15:47

トラックバック

このエントリーのトラックバックURL:
http://labs.cybozu.co.jp/cgi-bin/mt-admin/mt-tbp.cgi/2004

 

mg src="http://img.awasete.com/image.phtml?u=http%3A%2F%2Flabs.cybozu.co.jp%2Fblog%2Fakky%2F" width="160" height="140" alt="あわせて読みたい" border="0">

著書

PHPxWebServiceAPIConnections.jpg

プロフィール

週三日勤務で、残りは個人で活動しています