恼人的浏览器“下载炸弹”重现,Chrome 再次中招

by admin on 2020年3月27日

去年冬天,安全公司 Malwarebytes 向 Chrome
浏览器报告了一个安全漏洞,有恶意团伙利用“下载炸弹”(Download
Bomb)来阻塞用户的浏览器,然后诱导用户拨打页面上的“技术支持电话”进行诈骗行为。

澳门新葡亰信誉平台游戏 1

澳门新葡亰信誉平台游戏 2

跨各大平台的Chrome浏览器因为快速流畅的体验而被广大用户所接受,并且许多人认为它是相当安全的。然而Sophos却于今日丢下了一颗重磅炸弹,表明诈骗者正积极利用某个bug,对Chrome用户进行忽悠。这群坏蛋会假装是微软技术支持人员,并在用户的浏览器中显示一条“你的计算机已经感染了xxx病毒.木马.蠕虫”的消息,甚至还假正经地配上了“055BCCAC9FEC”这样的“错误代码”。

Mozilla已经正式确认,最近披露的 Meltdown和Spectre CPU漏洞 —— 可能通过
Web
站点内容(比如JavaScript文件)进行漏洞利用,也就是说,用户可能因为访问某个网页而被提取信息。

“下载炸弹”通过 JavaScript Blob 方法和 window.navigator.msSaveOrOpenBlob
函数瞬间启动数千个下载线程让浏览器卡死,并弹出所谓的微软技术支持热线。用户在试图点击页面或关闭浏览器都没有反应时,可能会被诱导致电该诈骗电话,对方在接通后会宣称可远程解决受害者的电脑问题,并索要维修费用。

澳门新葡亰信誉平台游戏 3

这两个漏洞来自Google Zero Project 安全研究团队,几乎影响到自 1995
年以来生产的所有CPU。这些漏洞影响会影响台式机,笔记本电脑,服务器,智能手机,智能设备以及云服务中的CPU。

澳门新葡亰信誉平台游戏 4

更糟糕的是,Google至少2年前就已经知道了这个漏洞被利用,但却一直没去简单地修复它。Sophos指出:

澳门新葡亰信誉平台游戏,谷歌表示,这两个漏洞可以被利用来窃取当前在计算机上进行处理的数据,其中包括存储在密码管理器或浏览器中的密码,个人照片,电子邮件,即时消息,甚至是商业信息,和其他关键文件。

在收到 Malwarebytes 的反馈后,Google 在 Chrome 65.0.3325.70
中发布了修复程序。不过最近,该漏洞报告下方有用户回复称,他在使用6月12日发布的 Google
Chrome 67.0.3396.87
时无意中被重定向至诈骗网站,使用的就是“下载炸弹”技术。

假装成技术支持人员的诈骗分子,已经开始利用Google
Chrome中存在了2年的这个漏洞,来引诱受害者相信他们的PC真被恶意软件所感染。

Mozilla 证实了最糟糕的后果

在 FreeBuf
昨天的报道《芯片级安全漏洞后续》中,谷歌发布的研究成果中并没有提供具体的攻击方法,但很多阅读了学术研究报告的安全专家表示,基于网络的攻击形态是完全可能的。也就是说,并非是在本地执行恶意代码。

谷歌成果公开的几个小时之后
Mozilla证实了这种猜测,Meltdown和Spectre漏洞都可以远程利用!只需要通过网站页面的JavaScript文件就可以实施攻击。

我们的内部实验已经证实了,这种攻击可以使用web方式读取不同来源的私人信息”

澳门新葡亰信誉平台游戏 5

该bug于2014年7月份在Chrome 35版本中被发现,而 pushState()
则是一个无需实际加载页面、就可以将网页添加到会话历史中的HTML5功能。

FireFox在 2017年11月版本中加入了防范措施

FireFox57版本中加入了一些防范策略,来阻止此类内存数据泄漏的攻击,但Mozilla
同时也表示,这会降低Firefox部分功能的精度。


这不是一个彻底的解决方案,而只是个追求效率和用了点小聪明的解决方法。”

具体来说,在所有 FireFox 57版本开始:

  –  performance.now()会将降低到20μs。

   – SharedArrayBuffer功能会在默认情况下处于禁用状态。

Mozilla表示,他们会致力于更彻底地消除信息泄露的源头。

之后,有其他用户证实了他的调查结果,即最新的 Chrome
版本再次受到“下载炸弹”的影响。根据评论,Chrome 开发团队暂时没有计划对
Chrome 67 进行更新,该漏洞将放至本月晚些时候发布(暂定7月19日)的 Chrome
68 中一起修复。

发现该问题的开发人员,已经展示了可以为Chrome历史记录添加大量内容而导致浏览器被有效冻结的代码。

Google Chrome 64 版本将在1月23日发布

Mozilla已经部署了修补程序,但 Chrome 还没有发布具备防范功能的新版本。

有趣的是,Google团队才是最早发现了这两个漏洞的一方。按照谷歌的说法,Chrome浏览器将在1月23日发布缓解措施,以防止在
Chrome 64中 发生Meltdown和Spectre 恶意攻击。而在此之前,Google
建议用户启用它在 Chrome 63中发布的新安全功能,称为严格站点隔离。

其他厂商,包括微软,也发布了补丁。建议所有用户尽快更新到 Firefox
57,并在发布后尽快更新到 Chrome 64 版本。

本次漏洞利用的Web攻击会是 最危险 的,因为这种形态下攻击会非常容易实施。

攻击者可以诱导用户访问存在恶意JavaScript的站点,并利用 JavaScript
通过网站广告感染大量用户;攻击者还可以干脆侵入网站并实施下载攻击,而用户无法发现这个合法网站已经遭受入侵。

截止目前,尚未明确苹果如何修复Safari浏览器。

来自:FreeBuf.COM

值得注意的是,Malwarebytes
的安全专家曾在2月份对该恶意技术进行了分析,当时他曾指出Firefox
和 Opera 也会受到影响,微软的 Edge 和 Internet Explorer 这次例外。

想要阻止这样的攻击并非难事,用户可以利用任务管理器来终结Chrome进程。如果因为浏览器占用了太多资源,而导致任务管理器弹不出来,也可以强行重启计算机。

澳门新葡亰信誉平台游戏 6

澳门新葡亰信誉平台游戏 7

来源:bleepingcomputer 
编译:开源中国

欺诈文本

在显示生活中遇到它的机会非常小(旨在一个网站上被发现),但这种看似无关紧要的小bug,仍有可能让受害者损失大量的金钱。

在此我们只能提醒用户,即使遇到这种情况,也千万不要慌张。因为你的计算机并没有真的被感染恶意软件,这一切都是欺诈者的鬼伎俩。

【编辑推荐】

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图