一个影响Chrome、器漏Firefox和Safari的洞允浏览器漏洞在最近的Chrome软件发布后被发现。Google开发人员发现了这个基于剪贴板的盖剪攻击,当用户访问一个被攻击的贴板网页时,恶意网站可以覆盖用户的内容剪贴板内容。该漏洞也影响到所有基于Chromium的严重影响浏览器,但似乎在Chrome浏览器中最为普遍,加密目前用于复制内容的货币用户手势被列为了问题报告。
Google开发人员杰夫-约翰逊解释了该漏洞是安全如何被触发的,几种方式都是新发现的许覆授予页面覆盖剪贴板内容的权限。一旦授予权限,浏览用户可以通过主动触发剪切或复制动作,器漏点击页面中的洞允链接,甚至采取在有关页面上向上或向下滚动这样简单的动作来影响。
浏览器之间的区别在于,Firefox和Safari用户必须使用Control+C或⌘-C主动将内容复制到剪贴板,而Chrome用户只需查看一个恶意页面不超过几分之一秒就可以受到影响。
约翰逊的博文引用了Šime的视频例子,Šime是一家专门面向网络开发者的内容创作者。Šime的演示揭示了Chrome浏览器用户受到影响的速度有多快,只要在活动的浏览器标签之间切换,就会触发该漏洞。无论用户进行了多长时间或何种类型的互动,恶意网站都会立即用威胁者决定提供的内容取代任何剪贴板内容。
约翰逊的博客提供了技术细节,描述了一个页面如何获得写到系统剪贴板的权限。一种方法是使用现在已被废弃的命令,即document.execCommand。
navigator.clipboard.writetext API,它有能力将任何文本写入剪贴板而不需要额外的操作。一个演示说明了针对同一漏洞的两种方法如何工作。
虽然这个漏洞表面上听起来没有什么破坏性,但用户应该保持警惕,恶意行为者可以利用内容交换来利用毫无戒心的受害者。例如,一个欺诈性网站可以用另一个欺诈性URL替换之前复制的URL,在不知情的情况下将用户引向旨在获取信息和破坏安全的其他网站。
该漏洞还为威胁者提供了将复制的加密货币钱包地址保存在剪贴板上的能力,替换为由恶意第三方控制的另一个钱包的地址。一旦交易发生,资金被发送到欺诈性钱包,受害的用户通常几乎没有能力追踪和收回他们的资金。
Google已经意识到了这个漏洞,并有望在不久的将来发布一个补丁。在此之前,用户应谨慎行事,避免使用基于剪贴板的复制内容打开网页,并在继续进行任何可能危及其个人或财务安全的活动之前验证其复制内容的输出。
责任编辑:华轩 来源: 今日头条 漏洞加密货币安全(责任编辑:娱乐)
华润医药(03320.HK):东阿阿胶年度实现净利4328.93万元 基本每股收益0.07元
索尼发布Alpha 7C II和Alpha 7CR 全画幅微单再扩容
Japan to downgrade coronavirus classification on May 8: NHK
中国煤层气(08270.HK)年度亏损收窄至3622.4万元 每股亏损为人民币3.08分
Windows掌机市场又迎强者 联想正式发布Legion Go