據(jù)國外媒體報道，谷歌Chrome瀏覽器穩(wěn)定版（stable）近日為修復一個嚴重的安全問題升級到了最新的1.0.154.58版。但有趣的是，Chrome的這個安全問題是由微軟IE瀏覽器觸發(fā)。

    據(jù)國外媒體報道，谷歌Chrome瀏覽器穩(wěn)定版（stable）近日為修復一個嚴重的安全問題升級到了最新的1.0.154.58版。但有趣的是，Chrome的這個安全問題是由微軟IE瀏覽器觸發(fā)。　　　　據(jù)谷歌介紹，該安全問題非常嚴重，在未做任何事的情況下，Chrome用戶就有被普遍跨站腳本攻擊(UXSS)的危險。 　　谷歌關于這個漏洞報告是這樣說的： 　　“當在IE中加載時，一個經(jīng)過特別設計的HTML頁面可以通過任意的URI鏈接發(fā)布谷歌Chrome，而且不需要用戶的任何操作。” 　　如果用戶使用IE瀏覽器進入一個不良網(wǎng)頁，用戶可能迫使Chrome打開任何一個攻擊者希望的頁面，甚至是任何的JavaScript頁面。這與Mozilla在2007年發(fā)布Firefox 2.0.0.5時修復的問題非常相似。 　　為什么這會在2009年發(fā)生在Chrome身上呢？這是谷歌的錯，還是微軟的錯呢？ 　　如果我們一定要找出指責的對象的話，那么先讓我們特別關注一下Chrome。 　　谷歌對這個問題的咨詢文件這樣指出： 　　“眾所周知，微軟IE存在很多漏洞，要求注冊的URL處理程序協(xié)議存在問題，如chromehtml。它可以構建惡意WEB頁，誘使用戶訪問可觸發(fā)此漏洞。” 　　這意味著IE的Chrome URI處理程序缺少請求解析或驗證。一般來說，URI處理問題都非常嚴重，它不只會影響IE瀏覽器，而且還會影響瀏覽器處理QuickTime、Flash及其他插件程序。由于IE的URI處理問題，F(xiàn)irefox和QuickTime都曾長時間受過它的影響。 　　谷歌指出，他們在過去曾經(jīng)處理過類似的問題，但這次新出現(xiàn)的問題有所不同，“保留空間及引用可能被用來把一個參數(shù)打散成數(shù)個，這將導致Chrome打開多個標簽頁。” 　　據(jù)悉，這個安全漏洞只涉及穩(wěn)定版（stable）Chrome瀏覽器，還未影響到開發(fā)版（dev）和測試版（beta）。（編輯：雙勝）

進入論壇>>聲明：IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢：(010)68023640.

　　推薦閱讀

　　支持3G功能 Linux推Ubuntu 9.04三版本

Canonical周一（4/20）對外宣布正式推出Ubuntu9.04版（桌面、服務器、以及筆記本）。其中，桌面版和服務器版可從4/23日開始免費下載，而筆記本版本Ubuntu9.04NetbookRemix則是從4/30日起。 Canonical周一（4/20）對外>>>詳細閱讀

本文標題：谷歌Chrome瀏覽器安全漏洞源自IE

地址：http://m.sdlzkt.com/a/xie/20111230/204498.html

 1/2    1  2 下一頁