一家安全公司近日表示，谷歌的Chrome瀏覽器存在一個關鍵漏洞，在某種情況下允許攻擊者在Windows計算機上安裝惡意程序。

這家斯洛文尼亞的Acros安全公司表示，谷歌沒有將這個錯誤歸類為一個漏洞，而是稱其為“需要加以考慮的奇怪的行為”。

Acros公司首席執行官Mitja Kolsek表示，這個漏洞是windows程序中的字符串之一，需要一些攻擊策略才能被利用，又被稱為“DLL加載劫持”、“二進制數據種植”和“文件種植”。

這種攻擊于2010年8月進入公眾視野，當時Metasploit滲透攻擊工具包的創造者兼Rapid 7首席安全官HD Moore發現了幾十個易受攻擊的windows應用程序，隨后HD Moore的報告得到Kolsek和Aros等公司的響應。

很多windows應用程序不是使用完整路徑名來調用DLL，或者說動態鏈接庫，而是使用文件名，這就使攻擊者提供了一個機會，他們可以使用與需要的DLL相同的文件名來誘使一個應用程序來加載惡意文件。如果攻擊者可以趁機欺騙用戶訪問惡意網站或者遠程共享文件夾，或者讓他們接入USB驅動器(在某些情況下，誘使用戶打開一個文件)，攻擊者就可以劫持用戶的計算機并安裝惡意程序。

微軟公司在過去13個月中提供了17個安全更新補丁來修復DLL加載劫持問題，最近的一次是在本月初。

Chrome瀏覽器的“沙盒”技術讓瀏覽器與系統其他部分隔離開來，大多數安全專家認為Chrome瀏覽器位居最安全瀏覽器前五名。Chrome瀏覽器的“沙盒”技術并不能抵御DLL加載劫持攻擊，Acros公司表示。

要利用這個漏洞的話，Chrome必須被設置為使用除谷歌以外的搜索引擎，這并不奇怪，谷歌瀏覽器默認的搜索引擎為谷歌。Acros公司證實，當用戶將Yahoo或者Bing設置為瀏覽器首選搜索網站時，攻擊者就可以成功發動對Chrome的攻擊。

在攻擊開始前，用戶必須沒有訪問安全網站(即以HTTPS開頭的網址)，Acros補充說，并且在攻擊啟動的時候，用戶還必須被誘使到加載一個文件，從而在屏幕上有打開的對話框。

這些先決條件對于谷歌來說，簡直太多了。

一名谷歌開發人員表示，“我們并不認為這是一個安全漏洞，因為利用這個漏洞的先決條件太多了。”

這名開發人員還補充道，“這種漏洞利用的發生幾率很低，所以我們將它當作是‘需要加以考慮的奇怪行為’，而不是漏洞。”對此Acros公司并不完全同意。

“這很難說，”Acros公司在談到先決條件以及攻擊者可能放過這個成功機率較高的漏洞的概率時說道，“作為安全研究人員，任何允許默認下載遠程代碼以及在用戶計算機上執行而沒有發出警告的問題，我們都會認定為一個漏洞。”

Acros公司在對這個漏洞的分析報告中提出了一個有趣的問題，“多少社會工程學算是太多了?”

這樣的爭論并不新鮮：當微軟認為漏洞利用涉及“用戶交互”(誘使用戶完成一些攻擊者的工作)時，就會降低漏洞嚴重程度。

Acros建議Chrome用戶設置一個安全網站作為自己的主頁，例如Gmail，從而阻礙這種攻擊。雖然Acros沒有提及其他方法，但用戶也可以將Google保持作為該瀏覽器的默認搜索引擎來抵御這種攻擊。