Vulnerabilidad peligrosa en Goolge Chrome

Un día después del lanzamiento oficial de Chrome aparecen los primeros falos de seguridad graves. Según Aviv Raff On .NET, se puede hacer un ataque de Carpet Bombing y obligar al navegador de Google a descargar y ejecutar un archivo, sin que el mismo sea advertido.

Simplemente se descarga al disco duro.

El Carpet Bombing, refiere a una web maliciosa desde donde se puede descargar y ejecutar archivos infectados con virus y troyanos sin la intervención del usuario.

Si fuera un ejecutable terminación EXE o BAT, Windows tiraría un aviso sobre un archivo de Internet que intenta ejecutarse por si mismo, pudiendo cancelar la acción.

Sin embargo, si el caso fuese un archivo JAR, Windows intentaría ejecutar el Java Runtime Environment lo que podría terminar en un serio riesgo de seguridad para el usuario:

El autor del sitio desarrolló una prueba del concepto
que puede probar pulsando aquí.

Chrome tiene habilitada la opción de descarga Automática y por desgracia el botón para anular dicha acción está deshabilitado:

Sin embargo, podremos activar Pedir Ubicación antes de descarga, que se encuentra pulsando el icono de herramienta, luego en Opciones y en la ficha "Específicas":

Si usted desea evitar este problema puede instalar Analogx Script Defender para evitar que la extensión JAR sea ejecutada por el sistema operativo (Unicamente agregue ",.jar" a final de la lista de extensiones y pulse en Install Intercepts) o instalando winrar, asocie la extensión JAR con éste programa de descompresión de archivos.

Ver el Artículo Google Mule de Aviv Raff On .NET para más información. [Inglés]