谷歌浏览器正在修复与凭据管理器有关的安全漏洞
近期有安全研究人员发现 Windows版的谷歌浏览器存在某安全漏洞可被用来窃取凭据管理器中的账号密码。
攻击者首先需要诱导谷歌浏览器用户下载Windows Explorer Shell命令文件或者是SCF格式的快捷方式文件。
SCF格式的文件还是在Windows 98操作系统里使用的快捷方式格式,目前的Windows版本均使用LNK格式。
当用户使用谷歌浏览器下载含有恶意代码的 SCF文件时攻击者可以盗窃凭据管理器中经过哈希加密后的密码。
尽管这些密码已经经过加密但当前哈希密码破解难度并不算大,因此攻击者最终可以直接获得这些明文密码。
而凭据管理器中主要记录IE和Edge浏览器的密码表单、Windows 其他服务例如邮件和日历应用记录的密码。
处理与运行细节:
在谷歌浏览器看来SCF格式的文件并不属于具有安全风险的文件,因此下载后会直接交给资源管理器去处理。
因此不需要用户主动运行文件的情况下恶意脚本就会触发并连接Windows SMB服务器进行身份验证的请求。
最终将那些凭据管理器中保存的账号密码发送给攻击者,攻击者最后再将获得的哈希密码破解成明文就可以。
该漏洞影响所有Windows版本上的谷歌浏览器包括Windows 10,因此谷歌在接到通报后就着手进行修复了。
临时应对措施:
在某些页面上可以通过 HTML 代码直接实现自动下载功能,谷歌浏览器遇到此类网页在无害的情况下便下载。
而谷歌浏览器的默认下载设置时直接不询问用户而自动将文件下载到Windows资源管理器中的下载目录保存。
因此临时应对措施只需关闭谷歌浏览器的自动下载即可, 即高级设置中勾选下载前询问每个文件的保存位置。
谷歌公司目前已经在着手修复研究人员通报的这个漏洞,按照该浏览器的更新频率很快就会有修复版本发布。
另外虽然该漏洞尚未发现被其他攻击者利用, 但为了安全起见在新版本发布之后使用该浏览器的用户需更新。
蓝点网下载服务器将会及时同步谷歌官方的更新, 届时各位可以前往蓝点网下载服务器下载离线安装包更新。