اولین باگ پیدا شد.

در حالي که هنوز چند ساعتي از خبر انتشار مرورگر گوگل نگذشته بود، سايت ZDNet از شناسايي يک باگ امنيتي در آن خبر داد.

به گزارش ZDNet آسيب پذيري هاي موسوم به carpet-bombing، کاربران مرورگر کروم را در معرض حملات هکري قرار مي دهد.

ايويو راف (Aviv Raff) يک محقق سرشناس امنيتي با بررسي کروم دريافت که وي مي تواند با ترکيب دو باگ امنيتي، کاربران را به گونه اي بفريبد که آنان به طور مستقيم از مرورگر، فايل هاي اجرايي را نصب کنند.

اين دو باگ عبارتند از يک حفره در Safari اپل و يک باگ جاوا که امسال در کنفرانس Black Hat مورد بحث و مناقشه قرار گرفته بود.

به گزارش ZDNet، راف با ساخت يک دموي بي‌خطر نشان داد که چگونه مي توان کاربران کروم را به دانلود و نصب يک فايل JAR (Java Archive) که بدون هشداردهي اجرا مي شود، فريفت!

وي همچنين نشان داده که چگونه يک نفوذگر مي تواند با استفاده از يک ترفند مهندسي اجتماعي (Social Engineering)، بدافزاري را در desktops ويندوز جا دهد. اين کار فقط به دو کليک موشواره نياز دارد.

user-agent کروم حاکي از آن است که کروم عملاً WebKit 525.13 (Safari 3.1) است که نسخه آسيب پذير و منسوخي از اين مرورگر به شمار مي رود.

به گزارش ZDNet بعضي از کاربران کروم که از ويستا استفاده مي کنند، گفته اند که فايل هاي دانلود شده از اينترنت به طور خودکار در دسکتاپ قرار داده مي شود. اين گزارش مويد اين سناريو است که احتمالاً پشت سر اين باگ، يک combo-attack که از اين حفره اصلاح نشده IE استفاده مي کند، قرار دارد.

http://blogs.zdnet.com/security/?p=1843