9月5消息，谷歌新的Chrome瀏覽器有許多與安全有關(guān)的新功能：

　　·防御惡意軟件和釣魚攻擊的網(wǎng)站黑名單

　　·隱私瀏覽模式(Incognito)，可消除用戶活動的痕跡

　　·全面的消除瀏覽數(shù)據(jù)對話框

　　但是，Chrome瀏覽器中真正創(chuàng)新的功能是谷歌建在這個瀏覽器中的在一個沙箱中運(yùn)行的渲染引擎。每一個瀏覽器的標(biāo)簽都是一個以有限的功能運(yùn)行的一個獨(dú)立的處理過程。這就意味著如果一個惡意應(yīng)用程序要運(yùn)行，它不會破壞、干擾或者阻止在其它標(biāo)簽上運(yùn)行的其它應(yīng)用程序。它還意味著這個應(yīng)用程序不能做事情，如向文件系統(tǒng)寫入數(shù)據(jù)。向文件系統(tǒng)寫入數(shù)據(jù)能夠讓惡意程序存在下去。

　　這是一個很好的目標(biāo)。但是，遺憾的是這個沙箱已經(jīng)存在一個漏洞。例如，有人已經(jīng)演示了Chrome瀏覽器存在與蘋果Safari瀏覽器“地毯式轟炸”安全漏洞相同的漏洞。這種新版本的攻擊是把文件投放到Chrome的下載文件夾中，必須要采用社會工程學(xué)的方法才能勸說用戶運(yùn)行這些文件。這種攻擊也許可行，也許不可行。但是，這個沙箱確實(shí)是失敗了。

　　為什么會失��？因為Chrome瀏覽器是在包括蘋果的WebKit在內(nèi)的其它平臺的源代碼的基礎(chǔ)之上制作的。谷歌使用的是在修復(fù)“地毯式轟炸”安全漏洞之前的那個版本的WebKit軟件。一些開源軟件項目就是這樣。(天虹)