La scorsa settimana Google ha corretto una grave falla di sicurezza nella release stabile del suo giovane ma già famosissimo web browser Chrome. Lo ha fatto rilasciando la versione 1.0.154.59, che gli utilizzatori di Chrome dovrebbero già ritrovarsi installata grazie al sistema di aggiornamento automatico incluso nel programma di Google.
Il problema di sicurezza, segnalato per la prima volta a inizio aprile da un ricercatore di IBM, Roi Saltzman, esponeva gli utenti al rischio di subire attacchi di tipo cross-site scripting (XSS), forme di attacco spesso utilizzate nelle truffe online o per impersonare l’identità di un altro utente.
Secondo quanto spiegato in questo blog dal program manager di Google Chrome, Mark Larson, il bug risiede nel componente chromehtml e, in certe condizioni, “potrebbe consentire ad un aggressore di far girare degli script a propria scelta su qualsiasi pagina o elencare i file che si trovano nel disco locale”.
Va però sottolineato che, al momento, l’unico modo scoperto da Larson per sfruttare la vulnerabilità è quello di utilizzare come vettore di attacco Internet Explorer. Lo sviluppatore ha infatti spiegato che visitando una pagina maligna con IE Google Chrome potrebbe eseguirsi in automatico, aprendo schede multiple e caricano script maligni. Ma Larson sottolinea che “questo tipo di attacco funziona esclusivamente quando Chorme non è già in esecuzione”. ( Update : come fa notare un lettore sui forum, nell’advisory originale quest’ultima frase è stata cancellata: ciò significa che l’attacco funziona anche se Chrome è già in esecuzione ).
L’ultima versione stabile di Google Chrome può essere scaricata da qui in italiano.