Google Chrome Beta に不正なリンクでクラッシュするセキュリティホール

さて、本日発表されたGoogle Chrome。
朝からテレビのニュースで紹介されているなど思ってた以上の話題性で登場していますが、さすがに世界のクラッカー達の注目も集めていた模様。さっそくセキュリティホールが報告されています。

Google Chrome Browser 0.2.149.27 malicious link DoS Vulnerability
というわけで、現在リリースされているGoogle Chrome バージョン0.2.149.27で不正に記述されたリンクにアクセスしようとするとブラウザがクラッシュし、再起動を求められます。ブラクラというやつですね。

元記事は以下。アクセスは自己責任でお願いします。
http://evilfingers.com/advisory/google_chrome_poc.php
上記URLはアクセスしただけではChromeはクラッシュしません。
サイト下に掲載してある「Click for a demo HERE」のボタン部分にカーソルを合わせるとクラッシュします。

ChromeのURLを解析する処理に脆弱性が存在すると推測されます。カーソルを合わせただけでクラッシュしてしまうのは、ChromeがURLにアクセスする前に何らかの検証処理を行うからでしょう。Chromeのアドレスバーに脆弱性を突くURLを直接入力しても同じようにクラッシュしました。
当然ですが、悪用はしないで下さいね。

これ自体はとても単純なバグなのですぐ修正されるかと思います。
しかし、速いですね。0day hackですね。
今後もちらほらChromeの脆弱性は報告されていくでしょう。

さて、朝からChromeのネタを書くためにスクリーンショットをパチパチ撮ってました。
前後逆な感じになりましたが、次回は「Google Chromeをインストールしてみた」を書きたいと思います。

コメント

遅い。まだまだ使えない。

インストしたけど、使わず。FireFox使ってます。

投稿： tti | 2008年9月 3日 (水) 16時05分

ttiさん こんにちは。

あら、遅いですか？私のほうでは画面の起動はFirefoxより速いです。
まだまだ使えないというのには同感。
Firefoxを自分が便利なようにカスタマイズしているからかもしれないですが、機能に不足を感じます。

しかし、商売柄Chromeについて質問されるのは必至なのでとりあえず使い倒してみようと思いますｗ

投稿： rihi | 2008年9月 3日 (水) 22時30分