प्रारंभिक सुरक्षा मुद्दे Google के क्रोम को खराब करें

सुरक्षा शोधकर्ताओं ने Google की कमजोरियों को खोजने की सूचना दी है। नया वेब ब्राउज़र बीटा में रिलीज़ होने के एक दिन बाद।

एक भेद्यता ने हैकर को ब्राउज़र को क्रैश करने की अनुमति दी है। सुरक्षा शोधकर्ता ऋषि नारंग ने सिक्युरीटीम वेब साइट पर इस मुद्दे को वर्णित किया और ईविलफ़िंगर्स में अवधारणा के प्रमाण पोस्ट किए। नारंग के अनुसार, एक हैकर एक दुर्भावनापूर्ण लिंक बना सकता है जिसमें एक निश्चित वर्ण के बाद एक अपरिभाषित हैंडल शामिल होता है। जब कोई उपयोगकर्ता लिंक पर क्लिक करता है, तो क्रोम क्रैश हो जाता है।

दूसरा, संभवतः अधिक गंभीर भेद्यता के कारण क्रोम उपयोगकर्ता दुर्भावनापूर्ण कोड डाउनलोड कर सकते हैं। समस्या यह है कि Google वेबकीट के एक पुराने संस्करण का उपयोग करता है, इस तथ्य की वजह से, खुले-स्रोत ब्राउज़र तकनीक का इस्तेमाल एप्पल के सफ़ारी ब्राउज़र में भी होता है, जिसमें भेद्यता भी शामिल होती है।

शोधकर्ता अवीव आरएफ़ द्वारा खोजा गया, समस्या झूठ है जिस तरह से क्रोम फाइलें डाउनलोड करती है और जिस तरह से विंडोज़ डाउनलोड की गई फ़ाइलों को संभालती है, उन्होंने कहा।

क्रोम की डिफ़ॉल्ट सेटिंग एक फ़ोल्डर में फाइल डाउनलोड करती है। यह ब्राउज़र पृष्ठ के निचले भाग में एक डाउनलोड बार प्रदर्शित करता है। उपयोगकर्ता फ़ाइल खोलने के लिए बार पर क्लिक करते हैं अगर फ़ाइल निष्पादन योग्य है, तो विंडोज एक चेतावनी प्रदर्शित करता है, जो उपयोगकर्ताओं को अनजाने में दुर्भावनापूर्ण कोड डाउनलोड करने से बचाने में मदद कर सकता है।

अगर फ़ाइल एक जार (जावा आर्काइव) है, हालांकि, यह अन्य निष्पादन योग्यों की तरह नहीं माना जाता है, राफ ने कहा। जब कोई उपयोगकर्ता उस डाउनलोड बार पर क्लिक करता है, तो एक चेतावनी प्रदर्शित करने के बजाय, विंडोज़ स्वचालित रूप से फ़ाइल चलाती है।

डाउनलोड बार के तरीके से समस्या बढ़ जाती है, राफ ने कहा। बार वेब पेज का हिस्सा दिखता है राफ पोस्ट की गई अवधारणा के प्रमाण में, उपयोगकर्ताओं को लगता है कि वे डाउनलोड की गई फ़ाइल को खोलने के बजाय पृष्ठ पर एक लिंक या एक बटन पर क्लिक कर रहे हैं।

"यह फिर से एक तरह से एक 'मिश्रित खतरा' है, "उन्होंने एक ब्लॉग पोस्ट में लिखा था "विभिन्न उत्पादों में दो छोटे मुद्दे, जब मिलकर मिश्रित हो जाते हैं, तो एक बड़ी समस्या पैदा होती है।"

वह सोचता है कि Google को भविष्य में इसी तरह के अन्य मुद्दों का सामना करना पड़ सकता है क्योंकि क्रोम एप्पल के सफारी और मोज़िला के फ़ायरफ़ॉक्स सहित विभिन्न ब्राउज़रों से प्रौद्योगिकियों का उपयोग करता है। "सुरक्षा के अनुसार, यह बहुत समस्याग्रस्त है," राफ ने लिखा है। "उन्हें उन सुविधाओं में सभी सुरक्षा कमजोरियों को ट्रैक करना होगा, और उन्हें Chrome में भी ठीक करना होगा। यह शायद केवल तब ही होगा जब अन्य भेड़ियों द्वारा तय की गई या कमजोरियों को सार्वजनिक रूप से सूचित किया गया था। यह क्रोम उपयोगकर्ता को लंबे समय तक जोखिम में डाल देगा समय। "

Google ने इस भेद्यता के बारे में सीधे प्रश्नों को नहीं संबोधित किया था या क्या यह किसी भी संभावित समस्याओं को रोकने के लिए क्रोम में कोई भी बदलाव करने की योजना बना रहा है। इसके बजाय, एक Google प्रवक्ता ने एक बयान में कहा है कि, डिफ़ॉल्ट रूप से, क्रोम डाउनलोड उपयोगकर्ता की डेस्कटॉप की बजाय कुछ सुरक्षा समस्याओं से बचने के लिए एक अलग फ़ोल्डर में फाइल करता है इसके अलावा, उसने कहा कि उपयोगकर्ता ब्राउज़र को यह पूछने के लिए कह सकते हैं कि इसे डाउनलोड करने से पहले प्रत्येक फाइल को कहाँ से बचाया जाए।

उसने यह भी नहीं बताया कि क्या Google वेबकिट के हाल के संस्करण में अपग्रेड करने का इरादा रखता है, जो समस्या को किसी जेआर फाइलों के लिए डायलॉग बॉक्स से उपयोगकर्ता पूछते हैं कि वे उन्हें डाउनलोड करना चाहते हैं।