A vulnerabilidade poderia levar ao download automático de malwares, revelou o pesquisador de segurança Aviv Raff no mês passado.
A correção não foi lançada pelo mecanismo de atualizações do Google Chrome, mas os usuários podem ativar uma função para receber todas as correções instalando o plug-in Channel Chooser.
Segundo o blog do Google, a versão 0.3.154.3 do Chrome, lançada na semana passada, muda o comportamento de download de arquivos executáveis do navegador.
“Estes arquivos agora são baixados para um diretório específico com o nome 'unconfirmed_*.download', e o Chrome questiona se você aceita o download. Apenas após o usuário clicar em ‘salvar’ é que o nome do arquivo é convertido para o original”, explicou o diretor de produto Mark Larson, em um post.
Os downloads que não forem confirmados pelos usuários são apagados após o fechamento do browser.
Nesta terça-feira (21/10), ao examinar a nova versão para desenvolvedores, Raff disse que a correção é suficiente, mas não deve ser definitiva. “O ajuste não é bom o bastante, e funcionará até que pequenos bugs apareçam e explorem o problema do download automático”, explica o pesquisador.
Segundo Raff, a solução adotada pelo Google foi eficiente, mas lembra que o Chrome ainda tem vulnerabilidades. “Eles apagam os arquivos após o usuário fechar o navegador. Mas se o Chrome travar, os arquivos maliciosos podem continuar ali”, expõe.
A melhor solução, na opinão de Raff, é que o Google não baixe nenhum arquivo sem a permissão do usuário. “Mesmo que os arquivos sejam enviados a um diretório de downloads, ainda é perigoso. Mesmo que a extensão não seja executável, há outras formas de ativar os arquivos”, alerta.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário