Pojawił się już exploit demo dla pierwszej wykrytej krytycznej luki w zabezpieczeniach przeglądarki Google Chrome. Lukę znalazł Security Vulnerability Research Team wietnamskiego Bkis: podczas zapisywania strony w HTML-u za pomocą Zapisz jako przy szczególnie długich nazwach paska adresowego oraz przy szczególnie długich tagach tytułowych może dojść do przepełnienia bufora. Dzięki tej usterce napastnik może przemycić dowolny skrypt i doprowadzić do jego wywołania. Problem dotyczy Google Chrome w wersji 0.2.149.27. Według informacji odkrywców Google został już powiadomiony o luce i potwierdził występowanie błędu.

W aktualnej wersji przeglądarki Chrome (build 0.2.149.29) błąd ten jest już naprawiony. Użytkownicy mogą sami określić, której wersji browsera używają, klikając ikonkę klucza francuskiego obok paska adresowego i wybierając O Google Chrome. Jeśli zainstalowane wydanie nie jest już aktualne, Chrome w oknie poniżej wyświetli link do nowszej wersji.

Dzięki temu, w jaki sposób przeglądarka została wprowadzona na rynek, Google najwyraźniej nie zyskał przyjaciół wśród ekspertów od zabezpieczeń – szczególnie że już teraz wykryte zostały jej słabe punkty, które w połączeniu tworzą lukę w zabezpieczeniach. Jednak wadliwe komponenty software'owe użyte przez Google'a – przyczyna usterek – zostały już skorygowane. Celem krytyki stało się teraz rozmywanie pojęcia "wersja beta". Zdaniem krytyków koncern taki jak Google wprawdzie może oznaczyć swoją przeglądarkę jako wersję beta, ale wszystko wskazuje na to, że podobnie jak i w wielu innych usługach tej firmy przez długi czas oznaczanych jako "beta", nie daje się zauważyć żadnych zmian w stosunku do "finalnych" wersji usługi czy oprogramowania. W ten sposób przeciętni użytkownicy przyzwyczajają się do tego, że oprogramowanie beta można traktować tak jak stabilne, w pełni funkcjonalne programy.

Google powinien także stosować przeglądarkę w swoich własnych systemach produkcyjnych: koncern udostępnił program w milionach kopii zwykłym użytkownikom bez żadnych szczególnych ostrzeżeń czy ograniczeń – i wystawił ich tym samym na ataki kryminalistów za sprawą krytycznych luk w zabezpieczeniach i błędów. Wprawdzie inne koncerny takie jak Microsoft czy projekty Open Source również organizują publiczne testy beta – ale w ich przypadku zawsze wskazuje się na ryzyko związane ze statusem beta o wiele bardziej wyraźnie, niż to zrobił Google w przypadku swojej przeglądarki Chrome. Poza tym znane wcześniej luki w zabezpieczeniach najczęściej są już naprawione, a oprócz wersji beta dostępne są także wersje stabilne.

Podobne stanowisko prezentuje niemiecki Federalny Urząd ds. Bezpieczeństwa w Technikach Informacyjnych (BSI): jak stwierdził rzecznik BSI Matthias Gärtner w wywiadzie dla "Berliner Zeitung", problematyczny jest fakt, iż biorąc pod uwagę siłę rynkową koncernu, Google udostępnił produkt w wersji testowej szerokiej, a przy tym w pewnym stopniu technicznie mało doświadczonej publice. Chrome jest wprawdzie "wygodny, ale i groźny", nie tylko ze względu na to, że program jest jeszcze niedopracowany, ale też ze względu na manię zbierania danych, jaką wykazuje się Google. "Google Chrome nie powinien być przeznaczony do powszechnego użytkowania" – podkreślił Gärtner w ślad za wieloma innymi ekspertami.

Zobacz także

• Chrome "Save As" Function Buffer Overflow, ostrzeżenie SVRT-Bkis w sprawie zabezpieczeń

(ach)