www.MegaLab.it

È finalmente arrivata da pochi giorni la prima beta pubblica di Chrome, il browser made-in-Google. A poche ore dal rilascio, Aviv Raff ha scoperto una pericolosa falla all'interno del browser.

Safari e Chrome sono entrambi basati su WebKit, motivo per cui la vulnerabilità era già stata riscontrata su Safari dal ricercatore Nitesh Dhanjani. Si tratta della falla nominata Carpet Bomb (Bombardamento a tappeto), attacco che può essere effettuato portando l'utente su un sito costruito ad hoc per salvare un file senza richiesta, ed eseguirlo.

Mentre su Safari la falla è già stata corretta da mesi, gli sviluppatori di Chrome non hanno ancora provveduto al fix del bug, anche se ne erano già a conoscenza, e non si capisce per quale ragione la prima beta pubblica sia stata rilasciata prima della correzione di un baco tanto grave.

La vulnerabilità è realtà, è già disponibile un proof-of-concept del problema. La pagina, se visitata con Chrome, scarica senza autorizzazione un archivio jar, salvandolo nella directory predefinita per i download, come mostra l'immagine a lato.

L'aggiornamento risolutivo, dovrebbe arrivare da Mountain View al più presto: la distribuzione della nuova versione epurata dal bug sarà assolutamente automatica, cosa che dovrebbe ridurre le tempistiche di correzione del problema non di poco.