简介:刚推出的Chrome，由于采用旧版本的WebKit 核心而存在严重的安全漏洞。

　　google Chrome浏览器在RWW迅速成为我们最喜爱的浏览器，但是正如来自卡巴斯基实验室的安全专员Ryan Narraine报道说，Chrome从它所基于的旧版的Webkit继承了一个潜在的安全漏洞。攻击者可以欺骗用户运行一种可执行java文件，此类文件组合了Webkit的一个已知的java bug和智能社交工程的功能。

　　首先发现这个漏洞的安全专家 Aviv Raff，设立了一个demo发现。（注意：这个页面将自动下载一个java文件到你的桌面）。你可以安全地点击那个下载文件，它只是打开一个java语言写成的记事本程序。

　　地毯式轰炸

　　这里的问题是当用户双击截屏图片所示底部的下载文件后，这个程序会在没有任何警告的情况下打开，这就给心怀恶意的黑客轻松的在用户的机器上运行任意程序带来了机会。

　　有两个事实使google显得特别窘迫。就是，google在发布之前分别在官方声明和今天的实况视频演示中都强调了Chrome的安全性。

　　苹果已经做过这些

　　更重要的是，就如ZDNet 报道的，苹果七月发布safari 3.2.1版本时已经修补Webkit来对付这个漏洞 ，虽然当时已经距离发现这个漏洞超过了两个月了。可是google竟然使用一个旧版本Webkit来作为Chrome的基础核心。

　　社交工程

　　显然，这个发现只有当社交工程在它背后时才发作。就像一些弹出广告通过伪装成windows系统的典型的系统信息一样欺骗用户点击“ok”一样，这个发现欺骗不熟悉Chrome界面的用户相信所下载文件是web页面的一部分。

　　我们断定google将比苹果更快地修复这个漏洞，但这个消息还是让我们对Chrome的热情大大消退。