去年冬天，安全公司 Malwarebytes 向 Chrome 瀏覽器報(bào)告了一個(gè)安全漏洞，有惡意團(tuán)伙利用“下載炸彈”（Download Bomb）來(lái)阻塞用戶的瀏覽器，然后誘導(dǎo)用戶撥打頁(yè)面上的“技術(shù)支持電話”進(jìn)行詐騙行為。

“下載炸彈”通過(guò) JavaScript Blob 方法和 window.navigator.msSaveOrOpenBlob 函數(shù)瞬間啟動(dòng)數(shù)千個(gè)下載線程讓瀏覽器卡死，并彈出所謂的微軟技術(shù)支持熱線。用戶在試圖點(diǎn)擊頁(yè)面或關(guān)閉瀏覽器都沒(méi)有反應(yīng)時(shí)，可能會(huì)被誘導(dǎo)致電該詐騙電話，對(duì)方在接通后會(huì)宣稱可遠(yuǎn)程解決受害者的電腦問(wèn)題，并索要維修費(fèi)用。

在收到 Malwarebytes 的反饋后，Google 在 Chrome 65.0.3325.70 中發(fā)布了修復(fù)程序。不過(guò)最近，該漏洞報(bào)告下方有用戶回復(fù)稱，他在使用6月12日發(fā)布的 Google Chrome 67.0.3396.87 時(shí)無(wú)意中被重定向至詐騙網(wǎng)站，使用的就是“下載炸彈”技術(shù)。

之后，有其他用戶證實(shí)了他的調(diào)查結(jié)果，即最新的 Chrome 版本再次受到“下載炸彈”的影響。根據(jù)評(píng)論，Chrome 開發(fā)團(tuán)隊(duì)暫時(shí)沒(méi)有計(jì)劃對(duì) Chrome 67 進(jìn)行更新，該漏洞將放至本月晚些時(shí)候發(fā)布（暫定7月19日）的 Chrome 68 中一起修復(fù)。

值得注意的是，Malwarebytes 的安全專家曾在2月份對(duì)該惡意技術(shù)進(jìn)行了分析，當(dāng)時(shí)他曾指出Firefox 和 Opera 也會(huì)受到影響，微軟的 Edge 和 Internet Explorer 這次例外。

來(lái)源：bleepingcomputer  編譯：開源中國(guó)

標(biāo)簽： Google 安全 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。