I en ny versjon av Googles nettleser, Chrome, har selskapet fjernet en sårbarhet som skyldtes en feil av håndteringen av URL-er hvor chromehtml:-protokollen er brukt. Dette kan utnyttes av angripere til å kjøre vilkårlige skript på enhver side, også kalt «universal cross-site scripting» (UXSS), uten interaksjon med brukeren. Angriperen skal også under visse forhold kunne få laget en fortegnelse over filene på harddisken til det angrepne systemet.
Det spesielle med sårbarheten er at den ikke kan utnyttes i Chrome direkte. Derimot vil den kunne ramme brukere av Internet Explorer som også har tidligere utgaver av Chrome installert på maskinen.
Sårbarheten kan bare utnyttes dersom Chrome ikke allerede er startet. Den er fjernet i versjon 1.0.154.59 av nettleseren og vil hos de fleste bli automatisk installert. Google
Dette er dog ikke det første tilfellet hvor en sårbarhet i en nettleser har kunne utnyttes via Internet Explorer. I fjor sommer fjernet Apple en sårbarhet i Safari som kunne utnyttes via Microsoft nettleser. Apple har skrevet mer om sårbarheten her (CVE-2008-2306). Microsoft kom nå i april med en oppdatering til Windows som skal hindre akkurat denne typen kombinerte angrep.
