Een beveiligingslek in Google Chrome waardoor een kwaadwillende website de adresbalk kan vervalsen, inclusief geldig SSL-certificaat, wordt mogelijk toch door Google gepatcht. De aanval werd vorige week dinsdag door onderzoeker David Leo op de Full-disclosure mailinglist geopenbaard.

Google had hem laten weten dat het probleem niet zou worden verholpen, aangezien er sprake van een Denial of Service was. Daarnaast konden gebruikers bijvoorbeeld geen gegevens op de spoofingsite invullen. Op de mailinglist van Chromium, de opensourcebrowser waarop Google Chrome is gebaseerd, ontstond een discussie over het probleem en of het gepatcht moet worden. Een aanvaller zou het lek bijvoorbeeld kunnen gebruiken om gebruikers een bepaald telefoonnummer te laten bellen.

Charlie Reis, een ontwikkelaar van Google Chrome, laat op de mailinglist weten dat het probleem toch een patch rechtvaardigt, ook al is het probleem niet zo ernstig als een spoofing-aanval waarbij de gebruiker wel iets op de gespoofte pagina kan doen. Of en wanneer de update uiteindelijk zal verschijnen is nog niet bekend. Onderzoeker Sijmen Ruwhof meldt dat het probleem ook in Opera aanwezig is. Net als Chrome is ook Opera op Chromium gebaseerd.