« ECMAScript4の標準化、中止へ | トップページ | Google Chrome Beta にページを表示しただけで自動的にファイルをダウンロードしてしまうセキュリティホール »

2008年9月 3日 (水)

Google Chrome Beta に不正なリンクでクラッシュするセキュリティホール

さて、本日発表されたGoogle Chrome
朝からテレビのニュースで紹介されているなど思ってた以上の話題性で登場していますが、さすがに世界のクラッカー達の注目も集めていた模様。さっそくセキュリティホールが報告されています。

Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability
というわけで、現在リリースされているGoogle Chrome バージョン0.2.149.27で不正に記述されたリンクにアクセスしようとするとブラウザがクラッシュし、再起動を求められます。ブラクラというやつですね。

20080803001

元記事は以下。アクセスは自己責任でお願いします。
http://evilfingers.com/advisory/google_chrome_poc.php
上記URLはアクセスしただけではChromeはクラッシュしません。
サイト下に掲載してある「Click for a demo HERE」のボタン部分にカーソルを合わせるとクラッシュします。

ChromeのURLを解析する処理に脆弱性が存在すると推測されます。カーソルを合わせただけでクラッシュしてしまうのは、ChromeがURLにアクセスする前に何らかの検証処理を行うからでしょう。Chromeのアドレスバーに脆弱性を突くURLを直接入力しても同じようにクラッシュしました。
当然ですが、悪用はしないで下さいね。

これ自体はとても単純なバグなのですぐ修正されるかと思います。
しかし、速いですね。0day hackですね。
今後もちらほらChromeの脆弱性は報告されていくでしょう。

さて、朝からChromeのネタを書くためにスクリーンショットをパチパチ撮ってました。
前後逆な感じになりましたが、次回は「Google Chromeをインストールしてみた」を書きたいと思います。

|

« ECMAScript4の標準化、中止へ | トップページ | Google Chrome Beta にページを表示しただけで自動的にファイルをダウンロードしてしまうセキュリティホール »

コメント

遅い。まだまだ使えない。

インストしたけど、使わず。FireFox使ってます。

投稿: tti | 2008年9月 3日 (水) 16時05分

ttiさん こんにちは。

あら、遅いですか?私のほうでは画面の起動はFirefoxより速いです。
まだまだ使えないというのには同感。
Firefoxを自分が便利なようにカスタマイズしているからかもしれないですが、機能に不足を感じます。

しかし、商売柄Chromeについて質問されるのは必至なのでとりあえず使い倒してみようと思いますw

投稿: rihi | 2008年9月 3日 (水) 22時30分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/125677/23460935

この記事へのトラックバック一覧です: Google Chrome Beta に不正なリンクでクラッシュするセキュリティホール:

« ECMAScript4の標準化、中止へ | トップページ | Google Chrome Beta にページを表示しただけで自動的にファイルをダウンロードしてしまうセキュリティホール »