您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

Google云端硬盤漏洞可能使黑客欺騙用戶下載惡意軟件

2022-08-26 07:56:00 編輯:陸梵毅 來源:
導(dǎo)讀 Google云端硬盤存在一個(gè)漏洞,根據(jù)系統(tǒng)管理員A Nikoci的說法,該漏洞可以使黑客欺騙用戶安裝惡意軟件。Nikoci在接受Hack??er News采訪...

Google云端硬盤存在一個(gè)漏洞,根據(jù)系統(tǒng)管理員A Nikoci的說法,該漏洞可以使黑客欺騙用戶安裝惡意軟件。Nikoci在接受Hack??er News采訪時(shí)表示,黑客可能會(huì)濫用Google Drive中未修補(bǔ)的安全漏洞來散布偽裝成合法圖像或文檔的損壞或惡意文件。他說,他已使Google意識(shí)到該錯(cuò)誤。

該安全漏洞位于Google云端硬盤的“管理版本”功能中。管理版本功能允許用戶上載以及管理文件的不同版本。使用此功能,用戶可以跟蹤對(duì)其Google云端硬盤文件所做的任何更改,包括跟蹤誰(shuí)進(jìn)行了這些更改。

可以注意到的更改包括跟蹤何時(shí)有人在Google文檔中進(jìn)行了編輯或注釋,重命名了文件或文件夾,將新文件上載到文件夾,移動(dòng)或刪除了項(xiàng)目以及何時(shí)有人共享或取消共享文件或夾。

根據(jù)報(bào)告,當(dāng)通過“管理版本”替換文件時(shí),Google云端硬盤不會(huì)檢查文件的類型是否相同,甚至不執(zhí)行相同的擴(kuò)展名。Nikoci表示,僅當(dāng)新文件具有相同的擴(kuò)展名時(shí),該功能才應(yīng)替換舊文件,但事實(shí)并非如此。此外,在文件下載或安裝之前,在線預(yù)覽不會(huì)在替換文件的過程中警告用戶或發(fā)出任何警報(bào)。因此,用戶不知道自己的合法文件已被惡意文件替換,從而造成損壞。即使其他防病毒軟件檢測(cè)到惡意軟件,Google Chrome瀏覽器也會(huì)信任通過Google云端硬盤下載的文件。

黑客可以使用此安全漏洞進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻擊。魚叉式網(wǎng)絡(luò)釣魚攻擊旨在收回用戶的機(jī)密信息,從而造成用戶傷害。

Google尚未對(duì)此發(fā)表正式聲明,但根據(jù)IANS的最新報(bào)告,該公司最近已修復(fù)了最新版本的Chrome瀏覽器中的一個(gè)嚴(yán)重漏洞,該漏洞可能導(dǎo)致代碼執(zhí)行。

Google Chrome網(wǎng)絡(luò)瀏覽器的“ WebGL”組件中有一個(gè)“售后使用”漏洞,該漏洞可能允許用戶在瀏覽器進(jìn)程的上下文中執(zhí)行任意代碼。通過適當(dāng)?shù)膬?nèi)存布局操作,攻擊者可以完全控制此釋放后使用漏洞,該漏洞最終可能導(dǎo)致在瀏覽器上下文中任意執(zhí)行代碼。

思科Talos的Jon Munshaw表示,安全研究人員與Google進(jìn)行了合作,以確保解決這些問題并為受影響的客戶提供更新。

Munshaw周一對(duì)IANS說:“該漏洞專門存在于ANGLE中,ANGLE是Chrome在Windows系統(tǒng)上使用的OpenGL與Direct3D之間的兼容層,”

黑客可以以某種方式操縱瀏覽器的內(nèi)存布局,從而可以控制自由使用后的利用,最終可能導(dǎo)致任意代碼執(zhí)行。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。