Flere sikkerhetshull i Chrome

Er du en av de millioner av nettbrukere som har lastet ned en betaversjon av Google Chrome? Da må du skynde deg å laste ned den første sikkerhetsoppdateringen.

Versjon 0.2.149.28 som frem til i går var siste versjon, inneholder en kritisk sårbarhet som gjør pc-en perfekt til "klassiske drive-by-angrep".

Google har bekreftet sikkehetsbristen og er allerede klar med en oppdatering av nettleseren.

Men dette er ikke det eneste sikkerhetsproblemet Chrome har å slite med. Det danske sikkerhetsfirmaet CSIS hevder at Google-nettleseren har " spionlignende funksjonalitet", som nærmest kan minne om et rootkit, melder danske CRN .

Selv uten at nettleseren er åpen, sender den informasjon tilbake til Google.

Sikkerhetshullet, som gjør nettleseren sårbar for å bli kapret av hackere, er dokumentert gjennom et Proof of Consept, som viser hvordan en fiendtlig webside kan kjøre kode på systemet uten brukerinteraksjon og med de samme rettighetene som en pålogget bruker.

LES OGSÅ: MSN-trojaner sprer reklame

Sårbarheten skal kun finnes i versjon 0.2.149.28. Rent teknisk handler det om en såkalt Stack Overflow i tittellinjen i forbindelse med funksjonen "Lagre som".

Allerede den 2. september, samme dag som Chrome ble lansert, kom den første meldingen om dårlig sikkerhet i Chrome. Ryan Narraine, en sikkerhetsevangelist i sikkerhetsselskapet Kaspersky Labs, kunne da rapportere at Chrome hadde arvet en alvorlig sikkerhetsbrist fra webmotoren Webkit, som Chrome er bygd på.

Denne bristen gjør at en hacker enkelt kunne lure brukere til å kjøre en eksekverbar Java-fil ved å kombinere en sikkerhetsbrist i Webkit med en kjent Java-bug og litt smart sosial hacking.

LES OGSÅ: TEST: Chrome er en rå nettleser

Sikkerhetsekspert Aviv Raff, som først oppdaget bristen, satte opp en demo av hvordan sikkerhetshullet kunne benyttes. Hvis du klikker på denne linken med Chrome, og dobbelklikker på nedlastingslinken nederst på skjermen blir blir det automatisk og uten advarsel lastet ned et Java-program til din pc.

Danske CSIS er generelt svært skeptiske til at ansatte i bedrifter tester ut betaprogramvare, som Chrome er.

- Beta-programvare bør ikke installeres eller testes i produksjonsmiljøer eller i virksomheter. Vi fraråder bruker av Chrome-nettleseren inntil den foreligger i en mer stabil versjon, skriver CSIS i et sikkerhetsvarsel.