Digital.it
PrivacyMicrosoft: l’anonimato sul Web è relativo
VerySign, attacco informaticoVeriSign sotto attacco, ma lo comunica 2 anni dopo
iMessageiMessage, grave bug mette a rischio la privacy
HTC Sensation XEVulnerabilità WiFi: HTC rilascia un fix per Android
QR code per la pagina originale
news_fbc44ad4b1299560.jpg

Chrome, ed è subito vulnerabilità

Google è costretto a subire il primo forte colpo alla credibilità del proprio browser. A poche ore dal lancio, infatti, Chrome è stato colto in fallo, vulnerabile ad un bug di Webkit che avrebbe tranquillamente potuto essere evitato

Chrome è nato con il peccato originale. A pochissime ore dal lancio, infatti, il browser è già stato colto in fallo con una vulnerabilità grave e tale da aprire le porte ad un possibile attacco di massa. Le circostanze sono infatti le peggiori: la vulnerabilità è nota da tempo, il che presuppone sufficiente esperienza nelle mani di eventuali malintenzionati; il browser è novello e l’abitudine all’uso non è ancora tale da garantire una sufficiente protezione “psicologica” di fronte ad un eventuale mascherato attacco; il browser è promosso fin dalla homepage di Google, il che indica la possibilità di un download di massa fin dalla prima ora.

Così come in giugno Microsoft avvertì la propria utenza dei pericoli insiti in Safari, è presumibile ora che Microsoft possa intervenire per richiamare l’attenzione sui pericoli di Chrome. La vulnerabilità, infatti, è esattamente la stessa, derivante dalla vecchia versione di Webkit su cui tanto Safari quanto Chrome sono basati. Safari in seguito ha risolto il proprio problema, mentre per Chrome la “via crucis” inizia solo oggi (le varie settimane di vantaggio costituiscono però una sicura aggravante). La vulnerabilità, infatti, era nota da mesi e sarebbe stata sicuramente cosa opportuna anteporre la risoluzione del baco alla distribuzione del primo installer.

«L’attacco può essere portato a termine portando l’utente a visitare un sito web che possa avviare il download maligno e l’esecuzione successiva»: dicesi “carpet bombing”, vulnerabilità scoperta in Safari da Nitesh Dhanjani e riscoperta in Chrome da parte di Aviv Raff il quale ha portato online anche un proof-of-concept dimostrativo. L’elemento in comune tra il vecchio Safari ed il nuovo Chrome è il WebKit 525.13, modulo corretto in Safari a partire dalla versione 3.1.2.

Webkit vulnerabile in Chrome

Il quadro che si delinea è quello di un attacco silente in grado di sfruttare Chrome per creare sul desktop una icona in grado di fungere da applicazione (nel modello di Gmail, ad esempio, che al click viene aperto su Chrome). L’icona può fungere a questo punto da richiamo per l’utente il quale, ignaro, aprirà il browser su un sito maligno in grado di installare malware sul sistema. Secondo quanto indicato nella licenza EULA del browser Google, comunque, l’aggiornamento risolutivo sarà presumibilmente automatico, lanciato da remoto, il che potrebbe non richiedere tempistiche eccessivamente lunghe. Nel frattempo, però, milioni di curiosi si trovano sul pc un pericoloso veicolo di malware che nasconde dietro la dicitura “beta” tutti i difetti di gioventù della prima avventura browser di Mountain View.

Se vuoi aggiornamenti su Chrome, ed è subito vulnerabilità inserisci la tua e-mail nel box qui sotto:

  • Flawer

    Cominciano male…
    Va beh che tanto uso Mac, quindi anche volendo non potrei scaricarlo. Chissà quanto ci mettono a rilasciare una versione anche per gli OS spesso trattati come ultime ruote del carro informatico.

  • http://www.bizconsulting.it Cristian

    Eh cominciamo male… è una beta, fatta apposta per trovare i bugs… è normalissimo che abbia dei problemi.

  • http://www.matriz.it/ Mattia

    Bisogna tener conto che le Beta di Google non sono mai tanto Beta visto che vengono utilizzate da moltissimi utenti e rimangono con la definizione di Beta per moltissimo tempo.

  • http://n.d. Paolo

    Ma come, si polemizzava tanto sugli Acid test di IE8 beta ?
    Che vergogna! Sono un colosso…
    Hanno una grande considerazione degli utenti…
    Pesa poco in termini di RAM, usa pochi processi e METTE IN CONDIVISIONE IL TUO PC CON MEZZO MONDO!
    Potremmo fare un nuovo slogan… “Chrome, Condivi il tuo PC con tutto il mondo!”
    Più democratico di così…

  • Xfight

    Trovare bugs nelle beta è cosa normale.. trovare un bug NOTO da tempo è una cosa meno bella… vuol dire aver curato molto il design e tralasciato un po’ la sicurezza.

    Io tengo FF :P, magari la release finale di chrome è meglio della beta ( se mai uscirà dalla beta… vedi gmail & company )

  • http://www.bizconsulting.it Cristian

    Boh state facendo un casino su un prodotto che è ufficialmente (e anche logicamente, visto che è stato appena rilasciato) una prima beta (ed in quanto prima beta, sembra anche già abbastanza buono. IE8 nelle prime beta faceva davvero schifo).

    La frase “se mai uscirà dalla beta” non significa niente di niente. I sistemi Google sono in perenne beta ma non si può certo dire che siano da buttare; sono tra i migliori e più funzionali. Un sistema come GMail (beta) non ha nessun rivale, e di certo che non si può dire che sia piano di bug; il fatto che sia in perenne beta è solo una scelta di marketing, ma il software è sicuro ed in versione stabile.

    Ovviamente qualche problema viene fuori ogni tanto (e viene anche corretto), ma è del tutto normale. Se voi siete in grado di sviluppare programmi che una volta rilasciati ufficialmente non necessitano di nessun aggiornamento di sicurezza, mandate il curriculum a Google (o a qualunque altra software house) e saranno più che lieti di assumervi per risolvere i loro innumerevoli problemi!

  • BLah

    Ieri NOD32 mi ha trovato un virus all’apertura del mio Gmail. Il mio computer non ha virus, quindi sicuramente la colpa è di Google. Ora l’avviso non me lo da più, spero bene perché allora sarei morto professionalmente.

    Ho scaricato Chrome, e dopo aver letto questa cosa, lo userò magari l’anno prossimo.

  • http://blog.webnews.it Giacomo Dotta

    Pare il problema con NOD32 si stato risolto in mattinata

  • Norman

    Mah, speriamo solo non fondano Chrome con Firefox. LOL

  • http://www.spippolazione.net spippolazione
  • http://www.sandeisacher.net Franco
  • Lorenz

    Difatti già da ieri sera sulla Home Page di Google era sparito il link per il download di Chrome.

    C’è stato poche ore :)

  • Giacomo

    Ma che ci dobbiamo fare con quest’altro browser?

    Dal momento che tutti i browser tendono (o dovrebbero tendere) verso il sempre maggiore rispetto degli standard web, tendono anche verso l’omologazione e quindi viene anche meno la necessità di avere tutta questa scelta, una scelta in realtà tra oggetti equivalenti ma ciascuno con i suoi bug (che quindi si moltiplicano): sarebbe molto più costruttivo concentrarsi tutti su un solo prodotto e perfezionarlo.

    Senza considerare poi il vantaggio che potrebbe avere un’azienda come Google nell’aggiungere il supporto all’interno di Chrome per tecnologie magari non proprietarie, ma se non altro “proprie”… Qualcuno ha parlato di funzioni di Gmail funzionanti solo sotto Chrome: è una possibilità.

  • http://www.bizconsulting.it Cristian

    Beh Giacomo, quello che dici è sbagliatissimo perché negando la concorrenza (di questo si tratta), neghi anche il miglioramento dei software stessi. Adesso tutti i browser stanno andando sempre più verso il rispetto degli standard ma soltanto perché sono obbligati a farlo.

    O meglio, Internet Explorer è stato obbligato a farlo. Prima di Firefox, infatti, c’era solo IE (Netscape era già sepolto da tempo) che era tutt’altro che attinente agli standard. IE6 era un browser vergognoso dal punto di vista degli standard, e obbligava gli sviluppatori bravi a fare un casino per fare in modo che i siti fossero ben visualizzabili su tutti i browser; meltre gli sviluppatori schiappe facevano i test solo su IE quindi gli utenti che utilizzavano altri sistemi operativi o altri browser minori si trovavano davanti a siti innavigabili. Ciononostante IE6 ha regnato in modo indiscusso per diversi anni.

    Poi è arrivato Firefox che già da subito ha mostrato un alto rispetto degli standard, e Microsoft è stata costretta ad adeguarsi rilasciando IE7 che non è il massimo ma è comunque nettamente più fedele agli standard rispetto a IE6.

    Come vedi, si è arrivati ad un progressivo avvicinamento agli standard soltanto grazie alla libera concorrenza. Se tutte le software house lavorassero per sviluppare un solo browser, oltre a non avere vantaggi economici (perché le retribuzioni saranno ecquiparabili, quindi i grandi continueranno ad essere grandi ed i piccoli resteranno piccoli), molto probabilmente non produrrebbero nemmeno un browser decente. Si tornerebbe a IE6.

  • http://blog.webnews.it Giacomo Dotta

    Non capisco dove sbaglio, perchè condivido perfettamente il tuo pensiero: più concorrenza significa più qualità e maggiori benefici per gli utenti. Assolutamente. Semmai in altri pezzi (non in questo) ho espresso un’opinione peraltro poi confermata dalle parole di Schmidt: Google non vuole soverchiare in tre giorni il mondo dei browser, ma vuole solo costringere tutti a svoltare pagina ed a sviluppare navigatori più veloci e capaci. Oggi Chrome non è ancora all’altezza di IE o FF, ma sicuramente dimostra grandi capacità. Io stesso lo sto già usando per alcune funzioni ed ha occupato il 20% almeno della mia navigazione. Fetta che andrà aumentando con il passare del tempo.

  • http://www.bizconsulting.it Cristian

    Giacomo Dotta, forse è solo un’incomprensione. Il mio commento era riferito al Giacomo autore del commento numero 13 (non so se siate la stessa persona oppure no), che diceva che “sarebbe molto più costruttivo concentrarsi tutti su un solo prodotto e perfezionarlo”.

  • http://blog.webnews.it Giacomo Dotta

    Uh pardon! Colpa mia :)

  • Giacomo

    Cristian, credo di non essermi espresso bene, cerco di essere più chiaro.

    Allora io non voglio abolire la concorrenza, sarebbe come la Russia di Stalin.

    IE6 era (e purtroppo è) un browser pessimo, che in compagnia del suo predecessore (IE5) e di software come FrontPage, ha rovinato il web. Mozilla ha riaperto la guerra dei browser e sta spazzando via i presunti “programmatori web” punta e clicca che usavano FrontPage e m**da come quella. OK, fin qui ci siamo.

    Google ha promosso Firefox fino a 2 giorni fa. Se Google aveva in mente delle migliorie da fare sul browser di Mozilla (migliore gestione della memoria? rendering più veloce? ecc…) poteva proporre a Mozilla stessa delle modifiche al codice, che certamente da una voce come quella di Google sarebbero state accolte.

    Sprecare le proprie risorse verso lo sviluppo di un altro browser open source significa buttare a mare ore di lavoro. Ci saranno nuovi bug di sicurezza, nuove bizze nel rendering delle pagine con conseguente superlavoro per i programmatori web.

    Firefox ha ancora un bisogno enorme di migliorie. Continua a consumare memoria, l’anteprima di stampa fa schifo e c’è un’altra frotta di bug ancora tutti da risolvere. Google fa un nuovo browser. Altri bug, altro tempo buttato.

  • http://www.josef.it Josef

    Il discorso Google secondo me va guardato in prospettiva. Cioè non è da intendersi come sostituto universale ai browser in tempi brevi, ma sarà probabilmente il browser di massa del futuro. Dico questo perché l’esperimento di lancio di Chrome è come un field-test della capacità di divulgazione di un proprio software di navigazione: lanciamo un browser col nostro nome…quanto ci vuole a diffonderlo nel web?

    Ok una volta diffuso perché google avrebbe interesse a divulgare un proprio browser? Per rendere un servizio alla community per il successo che gli ha fatto avere come dice un comunicato stampa?? Google è così buono? Forse sì ma sicuramente tenete presente tutto il back-office di google…mentre navighiamo sulla home page google.it oppure sui siti di tutti i giorni c’è adwords e adsense che quasi in modo trasparente porta un mondo dietro di sé, quello del marketing b2b (da parte di google).

    Avere un browser proprietario vorrà dire (una volta che sarà un prodotto stabile e diffuso) avere pieno controllo sul mondo adsense e renderlo incorporato direttamente nel browser assieme a statistiche e vantaggi per le aziende che usano adwords.

    Niente di male in queste scelte…ma ricordiamoci che difficilmente qualcuno fa qualcosa per niente…soprattutto nessuno, nemmeno la grande G mette a disposizione un link sulla pagina più importante della rete solo per un semplice test…Google è forse l’azienda di marketing online più efficiente che esiste…un link sulla homepage equivale a una scelta economica di milioni di euro…in questi casi non viene tralasciato nemmeno una virgola, figuratevi un webkit con un bug noto…quindi riflettiamo se davvero è un bug tralasciato per incuria…

  • http://raffaelemorra.altervista.org raffaele

    Scusate ma io credo sia normale che ci siano dei bug nelle versioni beta, altrimenti non sarebbero tali, cmq io ho grande fiducia un questo browser, anche se spero che firefoz non vada in soffitta!

  • Tommaso

    Io sono parzialmente daccordo con Giacomo.
    Dal punto di vista commerciale ritengo che Google tenda molto a “monopolizzare” il web. Diciamocelo, tutti questi servizi web-based (dalla mail, all’agenda, ai documenti elettronici direttamente sul web, ecc.. ecc…) non sono stati pensati al fine di migliorare la vita delle persone, no? Google, diversamente dal gruppo di Mozilla, pensa ad un fine diverso, ossia ai SOLDI.
    Google paga gli sviluppatori invece Mozzilla è un organizzazione che vive di donazioni, non di pubblicità.
    Non c’è sito che non abbia gli spot Google advisor o come si chiamano. I servizi “pay per click” vanno alla grande e Google si ritrova ad essere il motore numero 1 sulla rete. Meglio approfittarne, no?
    Diciamo che mentalmente farei le associazioni: Mozilla sta Linux come Google sta a Microsoft. Ovviamente, visto così, pare una bestemmia, ma riflettete dal punto di vista del marketing. Google cerca di fare sul web quello che microzozz ha fatto con il software domestico. Quanti usano Linux? perchè?
    A questo punto, anche se l’investimento di Google per Chrome è forse uno spreco di risorse come dice Giacomo (e spero SIA DAVVERO così visto che a me Chrome puzza tantissimo e non credo che l’installerò), dubito che la stessa Google avrebbe avuto giovamento nel pagare in termini di “risorse” lo sviluppo di un browser come Firefox che rema verso le ideologie del web libero.
    E non fatevi ingannare dal fato che Chrome sia open-source, io sono convinto che sia solo una bella mossa commerciale e lo si evince dal contratto in licenza d’uso che prevede la possibilità di Google di analizzare il traffico degli utenti.
    Io non ho garanzie. Le stesse garanzie che non ho quando scrivo un documento su google docs o uso uno dei qualsiasi altri servizi che loro offrono.
    Magari sono pessimista, non so, intanto sto tranquillo con il mio Firefox sia su Windows che su Linux.

  • Giacomo

    Quando ho detto spreco di “risorse”, non intendevo che Google stesse buttando i suoi soldi: anzi, probabilmente li sta spendendo bene visto che, sviluppando un browser superfluo, ottiene visibilità e notorietà anche presso il popolo bue tramite i media.
    Intendevo spreco di risorse umane, di programmatori, di energia vitale verso progetti di “reinvenzione della ruota” quando bisognerebbe concentrarci su migliorare le “ruote esistenti”. Perdonate la metafora…

  • Tommaso

    Non cambia molto. Chi sviluppa per google fa quello che gli si dice. Se non fosse stato Chrome sarebbe stato qualcosa di simile che mira al marketing. Mozilla Firefox è una mosca bianca ed incompatibile con il progetto di monopolizzazione del web intrapreso da Google.