安全動(dòng)態(tài)

研究發(fā)現(xiàn)搜索建議功能能讓Chrome和Firefox崩潰

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-07-31    瀏覽次數(shù):
 

信息來(lái)源:企業(yè)網(wǎng)

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一種能夠使Chrome和Firefox瀏覽器在移動(dòng)和桌面設(shè)備上崩潰的方法。他們的方法依賴于這些瀏覽器支持的搜索建議功能。如今大多數(shù)瀏覽器都有一個(gè)搜索框或者允許用戶通過(guò)URL地址欄搜索?;跒g覽器支持的搜索引擎,通過(guò)用戶輸入的查詢能夠顯示搜索建議。守夜人安全專家表示,如果瀏覽器的搜索引擎不采用加密的HTTPS通道對(duì)搜索建議進(jìn)行加密,那么攻擊者便可以在本地網(wǎng)絡(luò)上攔截搜索建議查詢,并在搜索商之前提供搜索答案。

攻擊者可以插入大量數(shù)據(jù),從而導(dǎo)致瀏覽器或操作系統(tǒng)耗盡內(nèi)存資源,最終崩潰。

好消息是研究人員在崩潰中沒(méi)有執(zhí)行將導(dǎo)致跟多問(wèn)題的惡意代碼。在他們的試驗(yàn)中,研究人員設(shè)法讓Android4.4上的瀏覽器,Android 6.01上的Chrome 51,Ubuntu 16.04上的Firefox 47崩潰,并且他們使整個(gè)Ubuntu 16.04 OS在運(yùn)行Chrome 51時(shí)崩潰。

用戶使用不采用HTTPS的瀏覽器內(nèi)置搜索就會(huì)導(dǎo)致上述的崩潰發(fā)生,受影響的瀏覽器和網(wǎng)站包括用Firefox上eBay,Chrome上AOL和ASK.COM,Android瀏覽器上Bing和Yahoo。而Internet Explorer、Edge和Safari不受影響。但是Safari必須處理今年年初的搜索崩潰問(wèn)題,所以它并不像你想象的那么好。

Android,Chrome和Firefox團(tuán)隊(duì)拒絕將這個(gè)bug作為一個(gè)安全問(wèn)題來(lái)修復(fù),當(dāng)然實(shí)際上它也不是,因此針對(duì)該bug的修復(fù)恐怕會(huì)來(lái)的更晚一些。

http://static.cnbetacdn.com/article/2016/0728/e1df552efb10204.png

 
 

上一篇:面對(duì)云計(jì)算市場(chǎng)競(jìng)爭(zhēng)白熱化 云服務(wù)商們?nèi)绾纹凭?/a>

下一篇:2016年07月31日 聚銘安全速遞