Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Se han detectado las primeras vulnerabilidaes del navegador Google Chrome a las horas de haberse liberado.

La primera vulnerabilidad surge al intentar acceder a la siguiente página web:

Copien la dirección en Google Chrome con más de una pestaña abierta y verán todo el navegador se cuelga, incluso cuando por su diseño sus creadores había prometido que cada pestaña tendría un proceso distinto. Esta es una prueba, por tanto, en mi caso sólo funcionó la primera vez que la utilicé, pero tampoco se trata de un intento serio de bajarse el navegador, es una prueba para demostrar que la separación de procesos no evita que se pueda tumbar todo el navegador.



La segunda vulnerabilidad es un poco más grave porque muestra, otra vez como prueba, que se pueden descargar archivos a nuestra PC sin nuestro consentimiento:

Otra vez copien esta dirección en Chrome y verán como resultado que aparece una pantalla de descarga en la parte inferior izquierda del navegador. Como es una prueba es visible pero si alguien quisiera que ejecutarás software malicioso podría hacerlo sin que te dieras cuenta. La razón es que Chrome está usando un motor anticuado de Webkit que hace tiempo tuvo un problema similar en Safari. El porqué no resolvieron este problema conocido antes de lanzar Chrome es un misterio.




La tercera vulnerabilidad esta relaciona otra vez con la peligrosa posibilidad de que descarguen archivos de manera arbitraria en nuestra PC sin nuestro consentimiento, existe un exploit como prueba de concepto. Lo inquietante es que si bien se puede probar el autor advierte que será nuestro propio riesgo

Siendo consecuente con mi manera de pensar considero oportuno y necesario publicar estas vulnerabilidades que están apareciendo en el nuevo navegador Chrome con la intención de sensibilizar a los lectores y usuarios de este foro acerca de los riesgos que implica tomar como navegador predeterminado un producto que todavía está en fase de beta.

Tanto Firefox y Opera tienen sus propias batallas que librar en el tema de la seguridad pero son productos mucho más potentes ya que tienen tiempo en este negocio. Estoy seguro que Google solucionará estas vulnerabilidades pero de momento hay que irse con cuidado con Chrome.

Saludos.


Fuente
Fuente2
Fuente 3
Fuente 4 (inglés)

Editado: He escrito un breve comentario tras la salida de la primera actualización del navegador y la respuesta de Google a estos problemas.

Hola 123enter,

Yo pienso que por un lado es normal que a este se le estén encontrando fallas o vulnerabilidades debido a que por un lado no podemos olvidarnos que se trata de una versión en fase de pruebas, ósea BETA y por otro Google lo lanzo con todo agregando incluso la noticia y el link de descarga desde su pagina principal, por lo que yo no se cuanta gente lo habrá descargado, pero te diría que hasta puede haber superado el record de descargas conseguido por Firefox

Sobre las vulnerabilidad de descarga de archivos ya había comentado algo directamente en el blog y en este otro tema y también hay otro fallo que comento en el blog donde solo basta escribir en la barra de direcciones cualquier palabra seguida de ‘:%‘ (sin comillas) o cliquear en un enlace que lo contenga para que este nos envié una ventana de error y se cierre.

Google Chrome y su primer vulnerabilidad = "Carpet Bomb".


En cuanto al error con "Carpet Bomb" este si seria importante que lo corrijan pronto ya que seria fácil para una atacante utilizar algunas técnicas de ingeniería social y terminar infectando nuestro sistema a través del uso del Chrome.

Tampoco creo que les sea muy difícil poder hacerlo ya que este fue un error viejo en el motor de Safari (Webkit) que Apple ya corrige y que al parecer la gente de Google uso una versión vieja de este motor con esa vulnerabilidad sin corregir.

Por ahí pienso que hubiera sido mejor esperar un poco mas el lanzamiento haciendo betas privadas antes de lanzarlo a todo el mundo y que estas noticias tomen tanta fuerza, aunque a nivel de marketing la gran "G" siempre sale ganando ya que desde el lunes no se habla de otra cosa en la red que no sea Chrome


Salu2

Realmente una de las cosas que me ha defraudado es que no solicite confirmacion de Descargas,muy propenso a malware...Menos mal que es Beta y los de Google supongo que reaccionaran.
Saludos

Hola, amigos,

Olvidé mencionar que la primera "vulnerabilidad" no me parece tanto así, más bien creo que es un error. Lo que se intenta demostrar es que la separación de procesos no es infalible para evitar un cuelgue general del navegador, una de las características resaltadas durante su presentación y que por cierto, según leí tampoco es nueva porque el IE8 beta ya la tenía incorporada.

Otro detalle es que en el último enlace que pongo, y que se titula en inglés algo así como "Google Mula" haciendo referencia a que Chrome (la mula) es un cruce entre Firefox (caballo) y Safari (burro). Primero porque los propios chicos de Google reconocen que el código usado para Chrome procede de Mozilla



Por otro lado de Safari toman el motor Webkit y como usaron una versión anticuada pues heredaron el error que se menciona arriba.

Estoy de acuerdo con que debemos ser comprensivos y tolerantes a pesar de estas pequeñas decepciones, lo único que pido es que seamos consecuentes y apliquemos este criterio para todos los productos beta y para todas las empresas en general.

Saludos.

Importante como ya lo has comentado 123enter es que los usuarios del foro y demas navegantes de la red no comiencen a usar como navegador predeterminado a Chrome, hay que recordar que es una beta..

hola a mi no me fallo abrio la pagina sin problema me sale esto


Google Chrome Browser 0.2.149.27
---------------------------------------------------
Software:
Google Chrome Browser 0.2.149.27

Tested:
Windows XP Professional SP3

Result:
Google Chrome Crashes with All Tabs

Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version 0.2.149.27. A crash can result without user interaction. When a user is made to visit a malicious link, which has an undefined handler followed by a 'special' character, the chrome crashes with a Google Chrome message window "Whoa! Google Chrome has crashed. Restart now?". It crashes on "int 3" at 0x01002FF3 as an exception/trap, followed by "POP EBP" instruction when pointed out by the EIP register at 0x01002FF4.

Proof of Concept:
http://evilfingers.com/advisory/google_chrome_poc.php

Credit:
Rishi Narang
psy.echo [ at ] gmail.com
www.greyhat.in
www.evilfingers.com
---------------------------------------------------
PoC Working/Exploit:
Click for a demo HERE

xk a mi no m fallo

¡Good for you!
Me parece extraño, porque yo ingresé de nuevo apenas leí tu mensaje y Chrome volvió a caerse. En todo caso si tu interés es bajartelo quizás debas hacer click sobre "demo HERE" (demostración AQUÍ). Aunque no sé si sirva porque nunca me ha dado tiempo para hacerlo.

Reitero que ésta no es tanto una vulnerabilidad como un bug de programación.

Saludos.

Acabo de entrar y si se cierra el navegador

el "bug" que mas me gusto fue el de escribir en el navegador :% inmediatamente se cierra

Es verdad, aparece esto y se cierra.

Saludos.

es increíble que lancen la beta publicitada como la definitiva. Seguro que muchos usuarios se la bajaron pensando que era así.