Pi Network 手机挖矿详细操作方法,0撸可放大操作
安全研究人员报告称,新的Web浏览器在测试版发布后一天发布。
一个漏洞会让黑客崩溃浏览器。安全研究员Rishi Narang在SecuriTeam网站上描述了这个问题,并在Evilfingers上发布了一个概念验证。根据Narang的说法,黑客可能会构建一个恶意链接,其中包含一个未定义的处理程序,后面是特定的字符。当用户点击该链接时,Chrome会崩溃。
另一个可能更严重的漏洞可能导致Chrome用户下载恶意代码。问题的部分原因是,Google使用了老版本的WebKit,也就是在Apple的Safari浏览器中使用的开源浏览器技术,其中包含该漏洞。
由研究员Aviv Raff发现,问题在于Chrome浏览器下载文件的方式以及Windows处理下载文件的方式,他说。
Chrome的默认设置将文件下载到文件夹中。然后它会在浏览器页面的底部显示一个下载栏。用户点击栏打开文件。如果该文件是可执行文件,则Windows会显示一条警告,它可以帮助用户避免无意中下载恶意代码。
但是,如果该文件是JAR(Java归档文件),则不会像其他可执行文件那样处理,Raff说。当用户点击该下载栏时,Windows将自动运行该文件而不是显示警告。
Raff说,问题由于下载栏的外观而变得更加恶化。该栏似乎是网页的一部分。在Raff发布的概念证明中,用户可能会认为他们点击了页面上的链接或按钮,而不是打开下载的文件。“这又是一种'混合威胁', “他在一篇博文中写道。 “将不同产品中的两个小问题混合在一起会产生更大的问题。”
他认为谷歌未来可能面临其他类似问题,因为Chrome使用来自不同浏览器的技术,包括Apple的Safari和Mozilla的Firefox。
“安全明智,这是非常有问题的,”拉夫写道。 “他们必须跟踪这些功能中的所有安全漏洞,并在Chrome中修复它们,这可能只有在其他供应商修复了这些漏洞或公开报告后才会修复,这会让Chrome用户面临长期风险时间“。
Google没有直接解决有关此漏洞的问题,或者是否计划对Chrome进行任何更改以防止出现任何潜在问题。相反,谷歌女发言人在一份声明中表示,默认情况下,Chrome会将文件下载到单独的文件夹中,而不是在用户的桌面上,以避免一些安全问题。此外,她表示,用户可以在浏览器下载之前设置保存每个文件的位置。
她也没有说Google是否打算升级到更新版本的WebKit,通过显示JAR文件对话框询问用户是否要下载它们。