Hacker "vạch lá tìm sâu" trong Google Chrome

Sự kiện ra mắt thử nghiệm trình duyệt Google Chrome khá đình đám đã làm thu hút không chỉ giới công nghệ mà còn cả những hacker. Một vài lỗi đã lập tức được công bố trên các website bảo mật chỉ sau 1 ngày Google Chrome được phát hành.

Nhà nghiên cứu bảo mật Rishi Narang đã công bố lỗi bảo mật đầu tiên có thể cho phép hacker làm treo toàn bộ trình duyệt bao gồm tất cả các thẻ và có thể khóa thẻ theo ý muốn như Chrome hỗ trợ. Hacker có thể tạo nên một liên kết độc hại bao gồm các thành phần xử lý không xác định theo một ký tự nào đó, dẫn dụ người dùng click vào và Chrome sẽ tê liệt. Dòng thông báo lỗi "Whoa! Google Chrome has crashed. Restart now?" sẽ xuất hiện. (Ví dụ evil:%, lưu ý, trình duyệt Chrome của bạn sẽ bị treo nếu truy cập vào liên kết có ký tự như trong ví dụ)

Lỗi kế tiếp có mức độ nguy hiểm hơn xuất phát từ phiên bản WebKit v525.13, công nghệ trình duyệt mã mở mà Google dùng để phát triển Chrome 0.2.149.27. Phiên bản WebKit 525.13 cũng được Apple dùng cho trình duyệt Safari 3.1 trước đây nhưng sau đó đã phát hành bản Safari 3.1.2 để vá lỗi bảo mật này. Lỗi có thể làm nguy hại cho người sử dụng Chrome tải mã độc về máy tính khi bị hacker khai thác.

Theo thông tin Aviv Raff, người khám phá lỗi này công bố thì trình duyệt Chrome thiết lập mặc định các tập tin được tải về vào trong một thư mục. Khi đó, thanh trạng thái hiển thị tình trạng tải sẽ xuất hiện ở dưới cùng trình duyệt. Người dùng nhấn vào thanh này để mở tập tin, nếu tập tin này là một ứng dụng dạng *.exe thì Windows hiển thị một cảnh báo để người dùng cảnh giác khi tải và kích hoạt mã độc. Tuy nhiên, nếu tập tin thuộc dạng JAR (Java Archive) thì Windows không nhận dạng nó như là một ứng dụng (*.exe) nên không hề cảnh báo mà thực thi ngay khi người dùng click vào thanh trạng thái download.

Vấn đề mấu chốt là ở đây, hacker chỉ việc tạo một thanh bar giả dạng giống với thanh trạng thái download liên kết đến mã độc và người dùng nếu không để ý sẽ ngỡ như là Chrome đã tải xong 1 tập tin rồi vô tư click vào để mở chúng ra.

Aviv cho rằng Chrome sẽ phải đối mặt với nhiều nguy cơ bảo mật và trục trặc vì Chrome được "xào nấu" từ mã nguồn của Apple Safari và cả Mozilla FireFox. Do vậy, Google phải liên tục theo dõi những lỗi bảo mật xuất phát từ tính năng "vay mượn" của các trình duyệt khác rồi vá những lỗi này cho Chrome. Người dùng sử dụng Chrome sẽ bị nhiều nguy cơ bảo mật đe dọa.


Phần mã nguồn Chrome có "dấu viết vay mượn" từ Mozilla FireFox
Nguồn: new4hack

Phát ngôn viên của Google chưa đưa ra lời giải thích nào cụ thể nhưng đề nghị người dùng có thể thiết lập trình duyệt Chrome hỏi người dùng nơi tải tập tin (thiết lập trong Options). Google cũng chưa thông báo chính thức về việc nâng cấp phiên bản WebKit cho Chrome.

Biến động trong thị trường trình duyệt

Chưa đầy 48 giờ sau khi phát hành, Chrome đã phải đối mặt với vấn đề chung làm các trình duyệt khác đau đầu, đó là lỗi bảo mật. Tuy vậy, Chrome đã giành trọn 1% thị phần trình duyệt từ tay Internet Explorer trong thời gian ngắn ngủi, vỏn vẹn 1 ngày, vượt qua mặt cả Opera và Netscape.

Theo hãng phân tích thị trường Net Applications, trong tháng 8-2008, thị phần của Internet Explorer liên tục suy giảm gần 0.9%. Phần bánh béo bở lọt 1 ít vào tay FireFox khi trình duyệt này tăng từ 19.2% lên 19.7%. Tiếp theo đó là sự gia tăng thị phần chậm chạp của Safari (từ 6.1% lên 6.4%) và Opera (0.69% lên 0.74%).

Hãng StatCounter cũng đưa ra số liệu tương tự Net Applications về thị phần mà Chrome đã nhanh tay chộp được khi mới ra đời. Trong khi người dùng vẫn đang phân vân với Internet Explorer 8 Beta 2 thì Chrome là một lựa chọn khá thú vị. Sự ra mắt ấn tượng này liệu sẽ tiếp tục phát triển khi Chrome đã bắt đầu nhúng chân vào vũng lầy lỗi bảo mật. Việc cạnh tranh của thị trường trình duyệt sẽ càng gay gắt hơn trong thời gian sắp tới khi gương mặt mới đã thực sự làm cho các bậc đàn anh phải e ngại.

Thứ Sáu, 05/09/2008 08:53
31 👨 1.017
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp