據國外媒體報道，谷歌Chrome瀏覽器穩定版（stable）近日為修復一個嚴重的安全問題升級到了最新的1.0.154.58版。但有趣的是，Chrome的這個安全問題是由微軟IE瀏覽器觸發。

    據國外媒體報道，谷歌Chrome瀏覽器穩定版（stable）近日為修復一個嚴重的安全問題升級到了最新的1.0.154.58版。但有趣的是，Chrome的這個安全問題是由微軟IE瀏覽器觸發。　　　　據谷歌介紹，該安全問題非常嚴重，在未做任何事的情況下，Chrome用戶就有被普遍跨站腳本攻擊(UXSS)的危險。 　　谷歌關于這個漏洞報告是這樣說的： 　　“當在IE中加載時，一個經過特別設計的HTML頁面可以通過任意的URI鏈接發布谷歌Chrome，而且不需要用戶的任何操作。” 　　如果用戶使用IE瀏覽器進入一個不良網頁，用戶可能迫使Chrome打開任何一個攻擊者希望的頁面，甚至是任何的JavaScript頁面。這與Mozilla在2007年發布Firefox 2.0.0.5時修復的問題非常相似。 　　為什么這會在2009年發生在Chrome身上呢？這是谷歌的錯，還是微軟的錯呢？ 　　如果我們一定要找出指責的對象的話，那么先讓我們特別關注一下Chrome。 　　谷歌對這個問題的咨詢文件這樣指出： 　　“眾所周知，微軟IE存在很多漏洞，要求注冊的URL處理程序協議存在問題，如chromehtml。它可以構建惡意WEB頁，誘使用戶訪問可觸發此漏洞。” 　　這意味著IE的Chrome URI處理程序缺少請求解析或驗證。一般來說，URI處理問題都非常嚴重，它不只會影響IE瀏覽器，而且還會影響瀏覽器處理QuickTime、Flash及其他插件程序。由于IE的URI處理問題，Firefox和QuickTime都曾長時間受過它的影響。 　　谷歌指出，他們在過去曾經處理過類似的問題，但這次新出現的問題有所不同，“保留空間及引用可能被用來把一個參數打散成數個，這將導致Chrome打開多個標簽頁。” 　　據悉，這個安全漏洞只涉及穩定版（stable）Chrome瀏覽器，還未影響到開發版（dev）和測試版（beta）。（編輯：雙勝）

進入論壇>>聲明：IT商業新聞網登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢：(010)68023640.

　　推薦閱讀

　　支持3G功能 Linux推Ubuntu 9.04三版本

Canonical周一（4/20）對外宣布正式推出Ubuntu9.04版（桌面、服務器、以及筆記本）。其中，桌面版和服務器版可從4/23日開始免費下載，而筆記本版本Ubuntu9.04NetbookRemix則是從4/30日起。 Canonical周一（4/20）對外>>>詳細閱讀

本文標題：谷歌Chrome瀏覽器安全漏洞源自IE

地址：http://m.sdlzkt.com/a/xie/20111230/204498.html

 1/2    1  2 下一頁