網(wǎng)絡安全研究人員發(fā)現(xiàn)一種能夠使Chrome和Firefox瀏覽器在移動和桌面設備上崩潰的方法。他們的方法依賴于這些瀏覽器支持的搜索建議功能。如今大多數(shù)瀏覽器都有一個搜索框或者允許用戶通過URL地址欄搜索。基于瀏覽器支持的搜索引擎,通過用戶輸入的查詢能夠顯示搜索建議。守夜人安全專家表示,如果瀏覽器的搜索引擎不采用加密的HTTPS通道對搜索建議進行加密,那么攻擊者便可以在本地網(wǎng)絡上攔截搜索建議查詢,并在搜索商之前提供搜索答案。
攻擊者可以插入大量數(shù)據(jù),從而導致瀏覽器或操作系統(tǒng)耗盡內(nèi)存資源,最終崩潰。
好消息是研究人員在崩潰中沒有執(zhí)行將導致跟多問題的惡意代碼。在他們的試驗中,研究人員設法讓Android4.4上的瀏覽器,Android 6.01上的Chrome 51,Ubuntu 16.04上的Firefox 47崩潰,并且他們使整個Ubuntu 16.04 OS在運行Chrome 51時崩潰。
用戶使用不采用HTTPS的瀏覽器內(nèi)置搜索就會導致上述的崩潰發(fā)生,受影響的瀏覽器和網(wǎng)站包括用Firefox上eBay,Chrome上AOL和ASK.COM,Android瀏覽器上Bing和Yahoo。而Internet Explorer、Edge和Safari不受影響。但是Safari必須處理今年年初的搜索崩潰問題,所以它并不像你想象的那么好。
Android,Chrome和Firefox團隊拒絕將這個bug作為一個安全問題來修復,當然實際上它也不是,因此針對該bug的修復恐怕會來的更晚一些。
京公網(wǎng)安備 11010502049343號