Hopp til navigasjon Hopp til innhold
Google jobber med å tette Chrome-hullet. (Ill.: ITavisen)

Slik lurer angripere Chrome-brukere for å ta seg inn i Windows

Google sier de jobber med saken.

Sikkerhetsforskeren Bosko Stankovic i DefenseCode har kommet over en ny svakhet i Google Chrome i Windows.

Lurer seg inn via Chrome
Det fungerer ved at en angriper lurer n Chrome-bruker til å laste ned en Windows Ezplorer Shell Command File (SCF). SCF-formatet er en snarvei til «Show Dekstop» og har vært i bruk siden Windows 98.

Hvis brukeren trykker på lenken, blir SFC-filen liggende i mappen /nedlastinger helt til neste gang brukeren åpner mappen. Bare ved å åpne mappen, vil Windows forsøke å innhente et ikon som er assosiert med filen.

For å gjøre dette, sender maskinen bruker-ID og passord til en server, og denne ID-informasjonen kan så lagres av angriperen.

«Offeret trenger ikke å trykke på eller åpne den nedlastede filen – Windows filutforsker vil automatisk prøve å hente «ikonet»», forklarer Stankovic.

Google er på saken
Angriperne utnytter svakhetene i hvordan både Chrome og Google håndterer SCF-filer. Svakheten gjelder samtlige Windows-versjoner og nyeste Chrome.

Til Kaspersky forteller Google at de jobber med en løsning på problemet.

 

Kilde:
ZDNet

Stikkord: chrome, google, sikkerhet, windows