Geekotic

Es como presenciar el lanzamiento de Safari para Windows una vez más: Google lanzó su navegador a medio terminar basado en WebKit, todos los especialistas en seguridad le apuntan sus misiles, y al otro día ya se descubre más de un agujero ridículo. Con Chrome pasó exactamente eso, y hoy ya se tienen reportes de dos vulnerabilidades. La primera tiene que ver con la inclusión de un simple caracter especial en la barra de direcciones, la que tira abajo todo el navegador junto con todas las pestañas abiertas, algo que se suponía Chrome debía evitar desde un principio. Sólo hace falta entrar con Chrome y posar el puntero sobre el link especificado en este aviso de seguridad para colgar todo el navegador (ni siquiera hace falta hacerle click).

La segunda es aún más grave, ya que por culpa de utilizar una versión anticuada de WebKit, es posible engañar a Chrome para que descargue un archivo al disco local sin ningún tipo de aviso o confirmación al usuario, y luego combinarlo con algún tipo de ingeniería social para conseguir que el usuario lo abra. En la prueba de concepto de Aviv Raff puede verse un excelente ejemplo de esto.

Una forma de evitar este agujero de seguridad en particular es hacer algo que yo hice de ante mano por comodidad, por lo cual a mi no me funcionó el bug a la primera: Configurar las descargas para que se nos pregunte primero el destino de las mismas.

Esta claro que Chrome esta en beta de verdad (no la "beta" de Google) y que aún le falta cocinarse. El problema es que la gran mayoría lo va a tomar como algo listo para usar y las infecciones pueden llegar a ser masivas. En la rapidez y seriedad con que tome estos problemas Google está en juego la reputación y la credibilidad de todos los objetivos que plantearon para este nuevo proyecto.