Google于上周更新了专为IE设计的Chrome Frame,修补了许多臭虫及一个安全漏洞。但最受外界关注的是,微软漏洞研究中心(MSVR)亦被列在提报该漏洞的名单中。
Google说明,Google Chrome Frame 4.0.223.9及先前的版本含有一个安全漏洞,可让骇客绕过跨域(Cross-Origin)保护,虽被列为高度风险,但并不允许恶意程序长期感染使用者的机器,目前尚未接获相关攻击报告。
资安业者Secunia则早在11月中就公布了该漏洞的信息,指出该漏洞可用来进行跨站伪造请求攻击。
Google是在今年9月释出Google Chrome Frame,这是一个IE外挂程序,以让IE可以执行Chrome所具备的新网路技术与JavaScript引擎,以替Google利用各种新技术而打造的Google Wave服务舖路。
科技网站Computerworld曾测试IE嵌入Chrome Frame后的效能,发现执行速度是IE原来的9.6倍,并拥有与Chrome一致的效能。
在Chrome Frame出炉后,微软声明指出,有监于一般外挂程序所会产生的安全风险,Chrome Frame会让恶意程序可驻足的面积加倍,同时会破坏IE的隐私模式;但当时Google则反驳,Chrome Frame除了提振IE的效能外,还替IE带来沙箱及网钓/恶意程序的保护能力。
