谷歌浏览器近期版本已修复HTML标签窃取数据的漏洞
谷歌浏览器开发团队日前发布新版修复安全人员提交的多个问题,随着新版发布这些漏洞情况也被陆续披露。
其中编号为 CVE-2018-6177 的安全漏洞攻击受众面更为广泛,因此研究团队选择修复后才对漏洞进行公开。
通过HTML音视频标签窃取数据:
此漏洞属于跨站资源共享的漏洞可被用来窃取其他网站的数据,通过网页上的音视频标签即可探测其他信息。
原则上浏览器的安全功能已经禁止跨站资源共享防止窃取数据,但是这次出现的漏洞可以绕过这个安全策略。
具体实施上研究人员称可以在正常网站加载的广告模块安插恶意代码,也就是经过特别制作的恶意广告代码。
研究人员在测试时成功通过此漏洞读取脸书用户的敏感数据,但这种漏洞面向企业进行攻击的话会更加严重。
主要可以针对企业网络应用程序在特定位置存储敏感数据进行窃取,然后进行勒索或者是从事商业间谍活动。
漏洞已经在七月底进行修复:
由于研究人员认为此漏洞造成的危害可能会比较大,因此在发现漏洞后就已经将细节提交给谷歌浏览器团队。
然后在七月底发布的谷歌浏览器68.0.3440.75版中已经将此漏洞修复,但研究人员当时并没有公布漏洞细节。
直到现在谷歌浏览器已经发布三个新版本后、绝大多数用户都已经升级研究团队这才选择公布漏洞全部细节。
所以尤其是企业级用户应该确保使用的是谷歌浏览器最新版本,使用旧版本可能会存在漏洞被遭到黑客攻击。