恼人的浏览器“下载炸弹”重现，Chrome 再次中招

去年冬天，安全公司 Malwarebytes 向 Chrome 浏览器报告了一个安全漏洞，有恶意团伙利用“下载炸弹”（Download Bomb）来阻塞用户的浏览器，然后诱导用户拨打页面上的“技术支持电话”进行诈骗行为。

“下载炸弹”通过 JavaScript Blob 方法和 window.navigator.msSaveOrOpenBlob 函数瞬间启动数千个下载线程让浏览器卡死，并弹出所谓的微软技术支持热线。用户在试图点击页面或关闭浏览器都没有反应时，可能会被诱导致电该诈骗电话，对方在接通后会宣称可远程解决受害者的电脑问题，并索要维修费用。

在收到 Malwarebytes 的反馈后，Google 在 Chrome 65.0.3325.70 中发布了修复程序。不过最近，该漏洞报告下方有用户回复称，他在使用6月12日发布的 Google Chrome 67.0.3396.87 时无意中被重定向至诈骗网站，使用的就是“下载炸弹”技术。

之后，有其他用户证实了他的调查结果，即最新的 Chrome 版本再次受到“下载炸弹”的影响。根据评论，Chrome 开发团队暂时没有计划对 Chrome 67 进行更新，该漏洞将放至本月晚些时候发布（暂定7月19日）的 Chrome 68 中一起修复。

值得注意的是，Malwarebytes 的安全专家曾在2月份对该恶意技术进行了分析，当时他曾指出Firefox 和 Opera 也会受到影响，微软的 Edge 和 Internet Explorer 这次例外。

来源：bleepingcomputer  编译：开源中国

标签： Google 安全 漏洞

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。