2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Google云端硬盤存在一個漏洞,根據(jù)系統(tǒng)管理員A Nikoci的說法,該漏洞可以使黑客欺騙用戶安裝惡意軟件。Nikoci在接受Hack??er News采訪時表示,黑客可能會濫用Google Drive中未修補的安全漏洞來散布偽裝成合法圖像或文檔的損壞或惡意文件。他說,他已使Google意識到該錯誤。
該安全漏洞位于Google云端硬盤的“管理版本”功能中。管理版本功能允許用戶上載以及管理文件的不同版本。使用此功能,用戶可以跟蹤對其Google云端硬盤文件所做的任何更改,包括跟蹤誰進(jìn)行了這些更改。
可以注意到的更改包括跟蹤何時有人在Google文檔中進(jìn)行了編輯或注釋,重命名了文件或文件夾,將新文件上載到文件夾,移動或刪除了項目以及何時有人共享或取消共享文件或夾。
根據(jù)報告,當(dāng)通過“管理版本”替換文件時,Google云端硬盤不會檢查文件的類型是否相同,甚至不執(zhí)行相同的擴(kuò)展名。Nikoci表示,僅當(dāng)新文件具有相同的擴(kuò)展名時,該功能才應(yīng)替換舊文件,但事實并非如此。此外,在文件下載或安裝之前,在線預(yù)覽不會在替換文件的過程中警告用戶或發(fā)出任何警報。因此,用戶不知道自己的合法文件已被惡意文件替換,從而造成損壞。即使其他防病毒軟件檢測到惡意軟件,Google Chrome瀏覽器也會信任通過Google云端硬盤下載的文件。
黑客可以使用此安全漏洞進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻擊。魚叉式網(wǎng)絡(luò)釣魚攻擊旨在收回用戶的機(jī)密信息,從而造成用戶傷害。
Google尚未對此發(fā)表正式聲明,但根據(jù)IANS的最新報告,該公司最近已修復(fù)了最新版本的Chrome瀏覽器中的一個嚴(yán)重漏洞,該漏洞可能導(dǎo)致代碼執(zhí)行。
Google Chrome網(wǎng)絡(luò)瀏覽器的“ WebGL”組件中有一個“售后使用”漏洞,該漏洞可能允許用戶在瀏覽器進(jìn)程的上下文中執(zhí)行任意代碼。通過適當(dāng)?shù)膬?nèi)存布局操作,攻擊者可以完全控制此釋放后使用漏洞,該漏洞最終可能導(dǎo)致在瀏覽器上下文中任意執(zhí)行代碼。
思科Talos的Jon Munshaw表示,安全研究人員與Google進(jìn)行了合作,以確保解決這些問題并為受影響的客戶提供更新。
Munshaw周一對IANS說:“該漏洞專門存在于ANGLE中,ANGLE是Chrome在Windows系統(tǒng)上使用的OpenGL與Direct3D之間的兼容層,”
黑客可以以某種方式操縱瀏覽器的內(nèi)存布局,從而可以控制自由使用后的利用,最終可能導(dǎo)致任意代碼執(zhí)行。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。