Chrome被找到第二個漏洞

一家越南的資訊安全業者Bach Khoa Internet Security（BKIS）上周五（9/5）表示，Google Chrome瀏覽器含有緩衝區溢位漏洞，可能導致遠端程式攻擊甚至讓駭客掌控使用者電腦，BKIS並在網站上公布了概念性驗證程式。

BKIS說明，使用者在Chrome中執行SaveAs功能時會造成邊界錯誤，一旦使用者儲存一個擁有過長主旨的惡意網頁時，會造成堆積溢位，並讓駭客有機可乘，在使用者電腦中執行任意程式。

因此，駭客可以設計一個惡意網頁，誘導使用者造訪並儲存，這時便能執行藏匿在該網頁的惡意程式並藉以掌控使用者電腦。BKIS將此漏洞列為重大（Critical）漏洞。

這並不是Chrome第一個重大漏洞，上周另一名安全研究人員Aviv Raff亦指出Chrome採用舊版的WebKit核心，該核心含有地毯式轟炸（carpet bombing）漏洞，在使用者下載檔案時不會出現警告，這可能導致使用者下載大量惡意軟體。

Raff認為Chrome將下載檔案列於瀏覽器下方的設計，擴大了此一安全風險，因為使用者可能為誤以為該檔案僅是附屬於瀏覽網頁的一個連結。

SANS研究人員John Bambenek認為，雖然Chrome剛發表沒多久就被發現許多漏洞，但這並沒什麼大不了，因為這就是推出測試版的用意。

Google的Chrome協助中心已列出十多項與Chrome有關的已知問題，部份已提供暫時補救措施，使用者亦可透過該頁面提報新的問題。（編譯/陳曉莉）