去年冬天，安全公司 Malwarebytes 向 Chrome 瀏覽器報告了一個安全漏洞，有惡意團伙利用“下載炸彈”（Download Bomb）來阻塞用戶的瀏覽器，然后誘導用戶撥打頁面上的“技術(shù)支持電話”進行詐騙行為。

“下載炸彈”通過 JavaScript Blob 方法和 window.navigator.msSaveOrOpenBlob 函數(shù)瞬間啟動數(shù)千個下載線程讓瀏覽器卡死，并彈出所謂的微軟技術(shù)支持熱線。用戶在試圖點擊頁面或關(guān)閉瀏覽器都沒有反應(yīng)時，可能會被誘導致電該詐騙電話，對方在接通后會宣稱可遠程解決受害者的電腦問題，并索要維修費用。

在收到 Malwarebytes 的反饋后，Google 在 Chrome 65.0.3325.70 中發(fā)布了修復程序。不過最近，該漏洞報告下方有用戶回復稱，他在使用6月12日發(fā)布的 Google Chrome 67.0.3396.87 時無意中被重定向至詐騙網(wǎng)站，使用的就是“下載炸彈”技術(shù)。

之后，有其他用戶證實了他的調(diào)查結(jié)果，即最新的 Chrome 版本再次受到“下載炸彈”的影響。根據(jù)評論，Chrome 開發(fā)團隊暫時沒有計劃對 Chrome 67 進行更新，該漏洞將放至本月晚些時候發(fā)布（暫定7月19日）的 Chrome 68 中一起修復。

值得注意的是，Malwarebytes 的安全專家曾在2月份對該惡意技術(shù)進行了分析，當時他曾指出Firefox 和 Opera 也會受到影響，微軟的 Edge 和 Internet Explorer 這次例外。

來源：bleepingcomputer  編譯：開源中國

標簽： Google 安全 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。