Managed hosting door True

Steeds meer lekken in Googlebrowser

 

Nadat vorige week al bleek dat sommige links Chrome tot een totale crash kunnen brengen, hebben Vietnamese onderzoekers een lek gevonden in Google's browser waarmee hackers de controle over een systeem compleet kunnen overnemen.

Chrome is snel, veilig en stabiel. Dat beloofde Google toen het de browser vorige week dinsdag ter download aanbood. Déze browser zou niet crashen als één tab crashde. Via déze browser zou het niet mogelijk zijn een systeem over te nemen.

Beide beloftes blijken niet waar. Nadat vorige week al aan het licht kwam dat sommige links Chrome tot een totale crash kunnen brengen, ontdekte het Vietnamese onderzoekscentrum SVRT-Bkis dat de SaveAs-functie in Chrome misbruikt kan worden. Webpagina's met extra lange titels (gedefinieerd door de <title>-tag in HTML), kunnen een geheugenoverflow veroorzaken, waarna kwaadwillenden malware kunnen installeren op het systeem.

Google beloofde vorige week in een online strip dat het gebruik van ‘sandboxing' voorkomt dat malware kan worden geïnstalleerd op de harde schijf. Zandbak-technologie betekent dat elke applicatie in z'n eigen geheugenruimte draait.

Ongemerkte download

Google: "Ons doel met sandboxing is om te voorkomen dat malware zichzelf installeert op de computer, doordat de malware gebeurtenissen in de ene tab misbruikt om invloed te hebben binnen andere tabs. Daarom hebben we voor elk van deze processen alle rechten beperkt. Processen kunnen berekeningen uitvoeren, maar ze kunnen geen bestanden naar je harde schijf wegschrijven, of bestanden lezen op bijvoorbeeld je desktop."

Daarnaast hebben Oekraïense onderzoekers exploitcode geschreven die een exe-bestand downloadt zonder dat websitebezoekers daar erg in hebben. De code plaatst het bestand zonder toestemming van de gebruiker in de standaard-downloadmap.

Vorige week berichtte TGDaily bovendien dat Chrome automatisch de inhoud van alle bezochte sites indexeert, ook als het gaat om vertrouwelijke via HTTPS-beveiligde informatie op bijvoorbeeld internetbankiersites. Hackers die zich toegang weten te verwerven tot de systeemmap waarin deze informatie wordt opgeslagen, kunnen daar theoretisch misbruik van maken.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2697148). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

We praten hier over een publieke beta, dus waarom al die ophef? Of heeft Jolein onnadenkend gewoon een berichtje van de 'telex' geplukt?

Ik snap de ophef ook niet helemaal.
Ik denk dat de marketing rondom het programma (dat inderdaad nog alleen in beta test draait) iets te scherp is neergezet.

Op elke slak zout leggen is makkelijk. Feit is dat Chrome een nieuwe vooruitstrevende browser is. Ik ben er wel blij mee. Als de ergste bugs eruit zijn, gooi ik Firefox eruit.

Ik heb de browser drie dagen getest en hem onvoldoende bruikbaar bevonden. Ik krege diverse browservastlopers, kan zelf geen zoekmachine kiezen en heb openstaande vragen bij de beveiliging ter bescherming van de desktop.

Gezien de betastatus bij Google niks voorstelt, want nagenoeg alles is beta, ben ik niet onder de indruk van de poging tot ridiculisering van de terechte ophef.

Gelukkig is er het gratis Opera dat uitstekend voldoet op diverse besturingssystemen.

@sjun: Terechte ophef?

Chrome versie is 0.2
IE gaat al naar 8.0
FF zit op 3.0

Door bedrijven als Microsoft zijn we er inmiddels aan gewend geraakt dat producten op de markt worden losgelaten die nog lang niet af zijn. Van een beta-versie mogen we inmiddels kennelijk helemaal niks meer verwachten.
Ik ben blij met alle ophef: het geeft aan dat men van Google kennelijk w?l bepaalde verwachtingen heeft ten aanzien van de kwaliteit. Jammer dat Google die verwachtingen deze keer niet waarmaakt. Ook ik heb deze versie van Chrome als onbruikbaar terzijde geschoven. Maar ik zal de eerstvolgende versie zeker weer gaan proberen.

Blijkbaar maakt Google ook fouten. Wat ik opmerkelijk vind, zijn de reacties overal. Hieruit lijkt het alsof we het eerder opnemen voor "onze Google" dan dat we kritisch zijn en even wachten op de nieuwe versie. Dit is nou wat je met een dure term noemt, cognitieve dissonantie. Wees eerlijk, we zijn toch een tikje uit balans en zoeken naar argumenten om de fout van Google te rechtvaardigen en Chrome toch te instaleren. Wat vind jij? Breng je stem uit op: arjanbakker.blogspot.com

@Ted Kraan: Zeker. Je desktop staat helaas gewoon open voor wie kwaad wil met Google's Chrome. Ik vind dat je zo'n slecht getest product Alpha zou moeten noemen en eigenlijk niet voor consumenten ter download beschikbaar hoort te stellen. Google vindt kennelijk dat dit wel kan en daarmee solliciteert het dan ook naar terechte kritische kanttekeningen bij een tot nog toe ondeugdelijk product.

Ik begrijp ook wel dat Google liever ander commentaar hoort maar begrijpt Google wel dat het geen ondeugdelijke producten hoort vrij te geven? Sun, IBM, Microsoft en Apple krijgen het op hun brood als zaken niet deugen, Google dus ook.

Chrome is een illusie van een webbrowser. Het lijkt meer (net als M$ Internet Exploder) op een Trojan Horse, The Kanus Browser uit de film The Net!

Chrome is
- aan de voorkant een gratis browser
- aan de achterkant een gratis datamining tool, wat Google in staat stelt om, na installatie, de inhoud van je eigen HARDDISK te indexeren en te uploaden naar Google.

En God mag weten wat ze daar uitvoeren met de informatie die ze van jouw computer hebben afgetrokken?

Jawel The New World Order is comming to your harddisk too!

Tip voor de (onderzoekende) collega's:

Installeer Google's Chrome eens m.b.v.
- Een snapshot tool (bijv sysdiff)
- Sysinternals Registry Monitor
- Sysinternals File Monitor
- Sysinternals Proces Monitor
- Sunbelt (Application) Firewall
En een hardware firewall met packet content sniffing mogelijkheden op je internet verbinding

Have fun! Als je gedaan hebt snap je mijn reactie ;-)

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×