天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

Chrome安全漏洞源自IE

    据国外媒体报道,谷歌Chrome浏览器稳定版(stable)近日为修复一个严重的安全问题升级到了最新的1.0.154.58版。但有趣的是,Chrome的这个安全问题是由微软IE浏览器触发。      据谷歌介绍,该安全问题非常严重,在未做任何事的情况下,Chrome用户就有被普遍跨站脚本攻击(UXSS)的危险。     谷歌关于这个漏洞报告是这样说的:     “当在IE中加载时,一个经过特别设计的HTML页面可以通过任意的URI链接发布谷歌Chrome,而且不需要用户的任何操作。”     如果用户使用IE浏览器进入一个不良网页,用户可能迫使Chrome打开任何一个攻击者希望的页面,甚至是任何的JavaScript页面。这与Mozilla在2007年发布Firefox 2.0.0.5时修复的问题非常相似。     为什么这会在2009年发生在Chrome身上呢?这是谷歌的错,还是微软的错呢?     如果我们一定要找出指责的对象的话,那么先让我们特别关注一下Chrome。     谷歌对这个问题的咨询文件这样指出:     “众所周知,微软IE存在很多漏洞,要求注册的URL处理程序协议存在问题,如chromehtml。它可以构建恶意WEB页,诱使用户访问可触发此漏洞。”     这意味着IE的Chrome URI处理程序缺少请求解析或验证。一般来说,URI处理问题都非常严重,它不只会影响IE浏览器,而且还会影响浏览器处理QuickTime、Flash及其他插件程序。由于IE的URI处理问题,Firefox和QuickTime都曾长时间受过它的影响。     谷歌指出,他们在过去曾经处理过类似的问题,但这次新出现的问题有所不同,“保留空间及引用可能被用来把一个参数打散成数个,这将导致Chrome打开多个标签页。”     据悉,这个安全漏洞只涉及稳定版(stable)Chrome浏览器,还未影响到开发版(dev)和测试版(beta)。

本文来源:华军资讯 作者:rocky 编译

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行