Релиз Chrome 67 вернул возможность использования «загрузочных бомб»
В обновлении Google Chrome 67 вернулась техническая ошибка, которая предоставляла мошенникам возможность запугивать пользователей с помощью так называемых «загрузочных бомб» (download bomb). Данный метод атаки позволяет запустить сотни или тысячи загрузок, которые блокируют браузер на определенной на web-странице.
За последние несколько лет появилось несколько вариаций атаки. В основном такая тактика использовалась организаторами мошеннических схем по предоставлению «услуг» техподдержки, вынуждавших пользователей, «застрявших» на подозрительном сайте, обращаться по указанному номеру для разблокировки браузера. Минувшей зимой на проблему обратили внимание эксперты компании Malwarebytes и уведомили о ней Google. Инженеры компании исправили ошибку в версии Chrome 65.0.3325.70, но, как оказалось, она вновь вернулась в выпуске 67.0.3396.87, представленном в мае 2018 года.
Более того, по словам исследователя Malwarebytes Жерома Сегуры (Jérôme Segura), проблема распространяется и на другие браузеры, в том числе Firefox.
Журналисты ресурса BleepingComputer провели собственный эксперимент, в котором протестировали PoC-коды для Chrome и Firefox против ряда браузеров. Как оказалось, «загрузочные бомбы» заставляют зависнуть Brave и Vivaldi, браузер Opera «подвис» на короткий промежуток времени, но затем позволил переключиться на другую вкладку. Отмечается, что закрывать браузер пришлось через Диспетчер задач Windows, поскольку загрузки продолжались в фоновом режиме. Microsoft Edge и Internet Explorer оказались неузвимыми к данным атакам.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш