Οι ερευνητές της ασφάλειας έχουν αναφέρει ότι έχουν εντοπίσει τρωτά σημεία στις υπηρεσίες Google νέο πρόγραμμα περιήγησης Web μια μέρα μετά την κυκλοφορία του σε beta.

Μια άλλη πιθανώς πιο σοβαρή ευπάθεια θα μπορούσε να έχει ως αποτέλεσμα να κατεβάζουν οι χρήστες του Chrome κακόβουλο κώδικα. Το πρόβλημα οφείλεται εν μέρει στο γεγονός ότι η Google χρησιμοποιεί μια παλαιότερη έκδοση του WebKit, την τεχνολογία προγράμματος περιήγησης ανοιχτού κώδικα που χρησιμοποιείται επίσης στο πρόγραμμα περιήγησης Safari της Apple, που περιλαμβάνει την ευπάθεια.

Ανακαλύφθηκε από τον ερευνητή Aviv Raff, με τον τρόπο που οι Chrome κατεβάζουν αρχεία και τον τρόπο με τον οποίο χειρίζονται τα ληφθέντα αρχεία τα Windows.

Η προεπιλεγμένη ρύθμιση του Chrome μεταφορτώνει τα αρχεία σε ένα φάκελο. Στη συνέχεια εμφανίζει μια γραμμή λήψης στο κάτω μέρος της σελίδας του προγράμματος περιήγησης. Οι χρήστες κάνουν κλικ στη γραμμή για να ανοίξουν το αρχείο. Εάν το αρχείο είναι εκτελέσιμο, τα Windows εμφανίζουν μια προειδοποίηση, η οποία μπορεί να βοηθήσει τους χρήστες να αποφύγουν την ακούσια λήψη κακόβουλου κώδικα.

Ωστόσο, αν το αρχείο είναι JAR (Java Archive), δεν αντιμετωπίζεται σαν άλλα εκτελέσιμα αρχεία. Όταν ένας χρήστης κάνει κλικ στη γραμμή λήψης, αντί να εμφανίζει μια προειδοποίηση, τα Windows εκτελούν αυτόματα το αρχείο.

Το πρόβλημα επιδεινώνεται από τον τρόπο εμφάνισης της γραμμής λήψης, δήλωσε ο Raff. Η γραμμή φαίνεται να αποτελεί μέρος της ιστοσελίδας. Σε μια απόδειξη της έννοιας που δημοσίευσε ο Raff, οι χρήστες ίσως σκεφτούν ότι κάνουν κλικ σε έναν σύνδεσμο ή ένα κουμπί στη σελίδα, αντί να ανοίξουν ένα ληφθέν αρχείο.

"Αυτό είναι και πάλι ένα είδος αμοιβαίας απειλής, "έγραψε σε μια θέση blog. "Δύο μικρά προβλήματα σε διάφορα προϊόντα, όταν συνδυάζονται, δημιουργούν ένα πολύ μεγαλύτερο πρόβλημα."

Πιστεύει ότι η Google ενδέχεται να αντιμετωπίσει και άλλα παρόμοια προβλήματα στο μέλλον, επειδή το Chrome χρησιμοποιεί τεχνολογίες από διαφορετικά προγράμματα περιήγησης, όπως το Safari της Apple και το Firefox του Mozilla.

"Η ασφάλεια είναι πολύ προβληματική," έγραψε ο Raff. "Θα πρέπει να παρακολουθήσουν όλες τις ευπάθειες ασφαλείας σε αυτές τις λειτουργίες και να τις διορθώσουν και στο Chrome, κάτι που πιθανόν να είναι μόνο μετά την επιδιόρθωση αυτών των τρωτών σημείων από τους άλλους προμηθευτές ή δημοσίως. "

Η Google δεν απάντησε άμεσα σε ερωτήσεις σχετικά με αυτό το θέμα ευπάθειας ή αν σκοπεύει να κάνει οποιεσδήποτε αλλαγές στο Chrome για να αποτρέψει πιθανά προβλήματα. Αντίθετα, ένας εκπρόσωπος της Google δήλωσε σε μια δήλωση ότι, από προεπιλογή, το Chrome μεταφορτώνει τα αρχεία σε έναν ξεχωριστό φάκελο αντί για την επιφάνεια εργασίας του χρήστη ως τρόπο αποφυγής ορισμένων προβλημάτων ασφάλειας. Επιπλέον, δήλωσε ότι οι χρήστες μπορούν να ορίσουν το πρόγραμμα περιήγησης να ρωτήσει πού να αποθηκεύσει κάθε αρχείο πριν το κατεβάσει.

Επίσης, δεν είπε αν η Google προτίθεται να αναβαθμίσει την πιο πρόσφατη έκδοση του WebKit, η οποία αντιμετωπίζει το πρόβλημα εμφανίζοντας ένα το παράθυρο διαλόγου για αρχεία JAR ζητά από τους χρήστες εάν θέλουν να τα κατεβάσουν.