Tweet
Google Chrome被爆有地毯式轟炸漏洞
Chrome採用與Safari一致的開放源碼核心WebKit,同樣的漏洞也曾經出現在蘋果Safari,蘋果在今年6月釋出Safari 3.1.2版修補了該漏洞。
資訊安全研究人員Aviv Raff在Google Chrome出爐幾小時內,便發現Chrome含有地毯式轟炸(carpet bombing)漏洞,可能導致使用者下載大量惡意軟體。
Chrome會將使用者自網路下載的檔案顯示在瀏覽器下方,然而,當使用者下載或開啟這些檔案時,Chrome並不會提醒使用者,這讓惡意程式很容易入侵使用者電腦。
事實上Chrome採用與Safari一致的開放源碼核心WebKit,同樣的漏洞也曾經出現在蘋果Safari 3.1版瀏覽器,蘋果在今年6月釋出Safari 3.1.2版修補了該漏洞,在下載檔案時提醒使用者。Raff表示,Chrome採用了舊版的WebKit,而且未修補相關漏洞。
研究人員認為這是一個嚴重的漏洞,當初微軟甚至建議視窗用戶暫時不要使用Safari以策安全。
不過,ChannelWeb引用Google的回應表示,使用者可在Chrome中啟動「當下載檔案時詢問儲存位置」的設定,以讓使用者意識到系統正要下載檔案。
安全性亦是Chrome強調的一環,它內建了隱私權功能及反釣魚技術,各界預估Google應該很快就會修補此一漏洞。
資訊安全研究人員Aviv Raff在Google Chrome出爐幾小時內,便發現Chrome含有地毯式轟炸(carpet bombing)漏洞,可能導致使用者下載大量惡意軟體。
Chrome會將使用者自網路下載的檔案顯示在瀏覽器下方,然而,當使用者下載或開啟這些檔案時,Chrome並不會提醒使用者,這讓惡意程式很容易入侵使用者電腦。
事實上Chrome採用與Safari一致的開放源碼核心WebKit,同樣的漏洞也曾經出現在蘋果Safari 3.1版瀏覽器,蘋果在今年6月釋出Safari 3.1.2版修補了該漏洞,在下載檔案時提醒使用者。Raff表示,Chrome採用了舊版的WebKit,而且未修補相關漏洞。
研究人員認為這是一個嚴重的漏洞,當初微軟甚至建議視窗用戶暫時不要使用Safari以策安全。
不過,ChannelWeb引用Google的回應表示,使用者可在Chrome中啟動「當下載檔案時詢問儲存位置」的設定,以讓使用者意識到系統正要下載檔案。
安全性亦是Chrome強調的一環,它內建了隱私權功能及反釣魚技術,各界預估Google應該很快就會修補此一漏洞。
