Prosegue alacremente lo sviluppo di una nuova patch per Chrome. Nel browser di Google è stata, infatti, rilevata alcune settimane fa una falla di sicurezza che potrebbe consentire l’esecuzione di codice malevolo all’insaputa dell’utente. La fase di elaborazione dell’aggiornamento sembra richiedere più tempo del previsto, benché una prima versione per sviluppatori sia stata rilasciata alcuni giorni fa direttamente dalla società del motore di ricerca.
Stando alle informazioni fornite dagli esperti informatici che hanno rilevato la vulnerabilità, il browser di Google potrebbe essere esposto ad attacchi di tipo “carpet bomb”, in grado di compromettere la sicurezza dei sistemi su cui è installato l’applicativo per la navigazione online. Per rimediare al pericoloso bug, i tecnici di Chrome hanno rilasciato un primo aggiornamento indirizzato principalmente agli sviluppatori. L’aggiornamento porta il browser alla versione 0.3.154.3 e risolve la falla di sicurezza modificando la gestione dei download dei file eseguibili.
Attraverso la patch, Chrome cataloga come “unconfirmed_*.download” i file con estensione “.exe”, “.dll” e “.bat” scaricati dalla Rete. Così facendo, diventa più difficile per l’utente avviare un programma eseguibile malevolo scaricato automaticamente dal browser. Prima di essere eseguito, infatti, occorre confermare il salvataggio del file che da “unconfirmed_*.download” assume nuovamente la propria estensione originaria. I download non confermati vengono, invece, automaticamente cancellati quando il browser viene chiuso dall’utente.
Il bug cui Google sta cercando di porre rimedio era stato segnalato alcune settimane fa dall’esperto in sicurezza informatica Aviv Raff. L’informatico israeliano aveva dimostrato come la barra che compare automaticamente in Chrome, quando si avvia un download, potesse costituire, in alcune circostanze, una buona scorciatoia per trarre in inganno l’utente e fargli avviare inconsapevolmente un applicativo contente software malevolo. Secondo Rafif, l’attuale aggiornamento consente di aumentare le protezioni contro la falla, ma non la risolve alla radice, mantenendo il potenziale pericolo di sicurezza.
Al momento Google non ha comunicato quando il nuovo aggiornamento sarà messo a disposizione di tutti gli utenti. Come già sperimentato in precedenza, l’update di Chrome avverrà in automatico senza particolari avvisi rivolti agli utenti, che potranno comunque verificare la versione del loro browser attraverso “Informazioni su Google Chrome” dal menu “Personalizza e controlla Google Chrome”.