[NEWS] Google Chrome "ChromeHTML" URI Handler Vulnerability

c.m.g · 24-04-2009, 14:44

24 aprile 2009

La società di sicurezza Secunia riporta un advisory (SA34900) in cui si spiega che è stata trovata una vulnerabilitrà in Google Chrome, giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per divulgare in maniera non autorizzata alcune informazioni di sistema ed eseguire attacchi di tipo cross-site scripting.

La vulnerabilità è causata da un processing errato degli URIs "ChromeHTML", che potrebbe essere sfruttato per enumerare cartelle e file locali o far eseguire codice HTML arbitrario e script malevoli in una sessione di navighazione web nel contesto di un sito web creato ad hoc che trae in inganno un utente che clicca su link malevoli in Internet Explorer.

Lo sfruttamento con successo richiede che Google Chrome non sia avviato in quel momento e che la vittima segua i link malevoli all'interno di Internet Explorer.

La vulnerabilità è stata confermata nella versione 1.0.154.55 e antecedenti.

Soluzione:
Aggiornare alla versione 1.0.154.59.

Falla scoperta da:
Roi Saltzman, IBM Rational Application Security Research Group

Advisory d'origine:
http://code.google.com/p/chromium/issues/detail?id=9860

http://googlechromereleases.blogspot...urity-fix.html

Fonte: Secunia

c.m.g · 25-04-2009, 08:35

Google Chrome 1.0.154.59 Stabile su tweakness

Google Chrome e IE, attenti a quei due su punto informatico

24-04-2009, 14:44	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Google Chrome "ChromeHTML" URI Handler Vulnerability 24 aprile 2009 La società di sicurezza Secunia riporta un advisory (SA34900) in cui si spiega che è stata trovata una vulnerabilitrà in Google Chrome, giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per divulgare in maniera non autorizzata alcune informazioni di sistema ed eseguire attacchi di tipo cross-site scripting. La vulnerabilità è causata da un processing errato degli URIs "ChromeHTML", che potrebbe essere sfruttato per enumerare cartelle e file locali o far eseguire codice HTML arbitrario e script malevoli in una sessione di navighazione web nel contesto di un sito web creato ad hoc che trae in inganno un utente che clicca su link malevoli in Internet Explorer. Lo sfruttamento con successo richiede che Google Chrome non sia avviato in quel momento e che la vittima segua i link malevoli all'interno di Internet Explorer. La vulnerabilità è stata confermata nella versione 1.0.154.55 e antecedenti. Soluzione: Aggiornare alla versione 1.0.154.59. Falla scoperta da: Roi Saltzman, IBM Rational Application Security Research Group Advisory d'origine: http://code.google.com/p/chromium/issues/detail?id=9860 http://googlechromereleases.blogspot...urity-fix.html Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

25-04-2009, 08:35	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	Google Chrome 1.0.154.59 Stabile su tweakness Google Chrome e IE, attenti a quei due su punto informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 27-04-2009 alle 08:47.

Strumenti
Mostra una versione stampabile Invia questa pagina per email