Fejl i Chrome giver mulighed for at stjæle passwords

En sårbarhed i Google Chrome til Windows giver angribere mulighed for at få fat i brugernavne og passwords.

Sårbarheden ligger i Chromes behandling af filer af typen SCF (Shell Command File). Hvis angriberen kan narre offeret til at klikke på et link til en SCF-fil, gemmes den i mappen Downloads.

Når brugeren åbner mappen, forsøger Windows at hente et ikon til filen. I filen står der angivet en netværksadresse på ikonet. Windows forbinder sig til adressen og oplyser brugernavn og hashværdi af passwordet.

Det giver angriberen mulighed for at forsøge at knække passwordet. Endvidere kan hashværdien bruges i såkaldte pass the hash-angreb, hvor oplysningerne genbruges til at logge ind som offeret.

Google oplyser, at firmaet arbejder på at lukke hullet.

Anbefaling

Sæt Google Chrome til altid at spørge, hvor filer skal gemmes, før de hentes.

Links