未加星标

Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二03 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

在 IT 行业,“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下,当受害者访问到某个受影响的网站的时候,其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援,那么动手能力不佳的用户可能就要干瞪眼了。此前,这类攻击通常面向于微软 windows 操作系统自带的旧款 IE 浏览器。但是现在,研究人员发现 Google Chrome 也会中招了。
Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

据悉,新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件,让浏览器在数秒内就资源耗竭失去响应。
Malwarebytes 分析师 Jerome Segura 表示,该漏洞利用了 Blob 和 msSaveblob 接口(允许将文件保存到计算机本地的功能)。
当用户不小心踩到地雷(陷阱页面)的时候,就会触发大量的下载,让 CPU 和内存占用率瞬间飙升:
● Segura 将这些网页称作 “ 恶意广告 ”,且其能够通过标准的广告拦截器来应对。
● 此外,如果下载已被触发,用户也可以调出 Windows 任务管理器,然后手动终结浏览器进程。
Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

Segura 指出,虽然 Chrome 有着严格的批量突发下载限制(文件下载间隔时会征求用户许可),但这种攻击的速度实在是太快了,浏览器根本来不及弹窗询问。
我们在 Windows 7 / 10 系统上进行了测试,在弹出对话框之前,浏览器就已经被卡死了。
如上方动图最后一帧所示,当浏览器弹出是否取消下载的提示时,下载就已经完成了。
甚至在你想要 ‘ 抢先 ’ 关闭标签页的时候,浏览器就已经失去响应了。
在此期间,我们没有看到任何提示 ‘ 接受或拒绝 ’ 下载尝试的对话框。
虽然 Windows Defender 即将推出的更新可以移除恐吓型的应用,但目前不清楚该软件是否有能力拦截这类下载攻击。当然,我们也希望 Google Chrome 能尽快推出一个漏洞修复补丁。

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: 浏览器,Chrome,下载,Windows,攻击,数秒,Segura,Google,难抵,响应,恶意,弹窗,耗尽,用户
分页:12
转载请注明
本文标题:Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应
本站链接:http://www.codesec.net/view/572445.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(53)