北京时间9月4日消息,据国外媒体报道,Google昨正式发布Chrome浏览器。数小时之后,知名互联网安全研究员Aviv Raff就发现了该浏览器的两个安全漏洞。
Raff表示,其中一个漏洞曾出现在较老版本的苹果Safari浏览器中,因为Chrome和Safari都是基于WebKit开发的。而另一个漏洞则是与Java有关的Bug,这一bug在今年的Black Hat大会上曾被广泛讨论。
Raff指出,通过这两个漏洞,攻击者可以进行"地毯式轰炸"的攻击,并诱骗用户在新窗口打开可执行文件。他在自己网站上演示了如何进行攻击。在演示中,用户有可能会被诱骗下载并执行一个.jar文件,而在执行该文件时用户不会看到任何警告。
Raff的代码表明,恶意黑客能够使用一种非常狡猾的方式来进行攻击。用户只是点击了两下鼠标,恶意软件就会被植入Windows桌面中。
目前版本的Chrome使用WebKit 525.13版进行开发,这也是Safari 3.1版所使用的WebKit版本。这一版本的WebKit已经过期,并且是存在漏洞的。苹果已经在新的3.1.2版Safari浏览器中为该漏洞打了补丁。
此外,一些Vista用户在下载Chrome安装程序时发现,文件被直接下载到桌面。其中的IE漏洞也可能被攻击者利用。
