这次的攻击是可能的 , 因为谷歌使用了WebKit的,开源的渲染引擎 , 也是Apple公司的Safari为基础的铬时说,在星期三 , 以色列研究人员Aviv Raff在旧版本。
拉夫公布的概念证明演示了如何利用黑客可以创建一个新的“混合威胁” -这样命名是因为它依赖于多个漏洞-攻击铬。
“这是从Safari浏览器不同/ IE的混合威胁 ,说:”拉夫在通过即时消息进行了采访。 “这是一个类似的组件不同的混合。 它使用自动下载漏洞(又名'地毯炸弹')结合的[用户界面]设计缺陷 , 以及与Java的问题 , 不上显示一个警告执行的JAR文件从互联网上下载。“Raff的参考先前Safari浏览器/ IE浏览器的混合威胁 , 是他5月份的报告指责称 , 苹果公司的Safari浏览器漏洞可以在与微软IE浏览器(IE)中尚未修正的缺陷配对来攻击Windows电脑。
在“地毯炸弹”的错误,由研究员Nitesh Dhanjani显示,5月和它可能被用来转储到Windows桌面文件的方式来命名,源于事实,Safari浏览器并不需要用户的权限来下载文件。 攻击者,Dhanjani说,可以填充一个恶意代码,Safari浏览器会自动下载到桌面上,在那里可能会诱使用户打开该文件一个奇怪的用户恶意站点。
在首先不愿支付-在一段时间内它拒绝归类为安全漏洞漏洞 -苹果发布的错误6月中旬通过更新Safari浏览器的3.1.2。
拉夫结合仍然由英国再报告的渗透测试佩特科佩特科夫在Black Hat安全会议有地毯炸弹上个月错误。 当时,佩特科夫概述了如何在Java缺陷使Windows可以自动执行 , 不提示或警告用户JAR文件。
铬也有助于这个问题,说拉夫,使下载的文件作为按钮出现在浏览器的框架的底部。 “一点击此按钮将执行该文件,”拉夫说。 恶意攻击者可以在一个地方恶意站点,然后等待-或者更好的吸引-用户运行铬。 该浏览器将不会警告用户的JAR文件自动从网站上下载,按钮式的铬指标容易的应用程序的一部分错误。
用户可以设置一个选项 , 在Chrome将阻挠Raff的剥削弹出一个警告 , 一个文件名和下载文件的位置的任何要求。 要更改在“自定义和控制谷歌浏览器”菜单铬,选择选项,在菜单最右边,靠近顶端,虽然没有点名,就像一个小扳手看起来是。 下一步,请在选项窗口中的“小调整”标签,然后勾选读取“问问在哪里保存每个下载文件前。”
混合式威胁,拉夫认为,举例说明了铬,它借鉴了两个Safari浏览器组件-通过WebKit的-以及Mozilla的开源火狐不明件更大的问题。
调用方法“有问题 , 从安全角度看”,拉夫想知道如何快速谷歌将能够修补铬问题。
“他们将不得不在这些跟踪所有的安全漏洞[借]功能,并修复铬他们也一样,”拉夫在博客上详细阐述了对铬/ Java的混合威胁说。 “这大概是这些弱点后 , 才固定由其他供应商或公开报道。 这将使在很长一段时间的风险铬用户。“
【赛迪网,计算机世界(美国)
