据国外媒体报道，谷歌Chrome浏览器稳定版（stable）近日为修复一个严重的安全问题升级到了最新的1.0.154.58版。但有趣的是，Chrome的这个安全问题是由微软IE浏览器触发。

    据国外媒体报道，谷歌Chrome浏览器稳定版（stable）近日为修复一个严重的安全问题升级到了最新的1.0.154.58版。但有趣的是，Chrome的这个安全问题是由微软IE浏览器触发。　　　　据谷歌介绍，该安全问题非常严重，在未做任何事的情况下，Chrome用户就有被普遍跨站脚本攻击(UXSS)的危险。 　　谷歌关于这个漏洞报告是这样说的： 　　“当在IE中加载时，一个经过特别设计的HTML页面可以通过任意的URI链接发布谷歌Chrome，而且不需要用户的任何操作。” 　　如果用户使用IE浏览器进入一个不良网页，用户可能迫使Chrome打开任何一个攻击者希望的页面，甚至是任何的JavaScript页面。这与Mozilla在2007年发布Firefox 2.0.0.5时修复的问题非常相似。 　　为什么这会在2009年发生在Chrome身上呢？这是谷歌的错，还是微软的错呢？ 　　如果我们一定要找出指责的对象的话，那么先让我们特别关注一下Chrome。 　　谷歌对这个问题的咨询文件这样指出： 　　“众所周知，微软IE存在很多漏洞，要求注册的URL处理程序协议存在问题，如chromehtml。它可以构建恶意WEB页，诱使用户访问可触发此漏洞。” 　　这意味着IE的Chrome URI处理程序缺少请求解析或验证。一般来说，URI处理问题都非常严重，它不只会影响IE浏览器，而且还会影响浏览器处理QuickTime、Flash及其他插件程序。由于IE的URI处理问题，Firefox和QuickTime都曾长时间受过它的影响。 　　谷歌指出，他们在过去曾经处理过类似的问题，但这次新出现的问题有所不同，“保留空间及引用可能被用来把一个参数打散成数个，这将导致Chrome打开多个标签页。” 　　据悉，这个安全漏洞只涉及稳定版（stable）Chrome浏览器，还未影响到开发版（dev）和测试版（beta）。（编辑：双胜）

进入论坛>>声明：IT商业新闻网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。文章内容仅供参考。新闻咨询：(010)68023640.

　　推荐阅读

　　支持3G功能 Linux推Ubuntu 9.04三版本

Canonical周一（4/20）对外宣布正式推出Ubuntu9.04版（桌面、服务器、以及笔记本）。其中，桌面版和服务器版可从4/23日开始免费下载，而笔记本版本Ubuntu9.04NetbookRemix则是从4/30日起。 Canonical周一（4/20）对外>>>详细阅读

本文标题：谷歌Chrome浏览器安全漏洞源自IE

地址：http://www.lgo100.com/a/xie/20111230/204498.html

 1/2    1  2 下一页