Сбер вакансии Backend
Сбер вакансии Backend
Сбер вакансии Backend
Написать пост

Браузеры снова стали уязвимы к атаке «download-бомбами»

Новости Отредактировано

По сообщениям специалистов по кибербезопасности, атаке «download-бомбами» подвержены Chrome, Firefox, Opera, Vivaldi и Brave.

2К открытий2К показов

Релиз браузера Chrome 67 вновь открыл брешь в безопасности, позволяющую злоумышленникам запускать так называемые «download-бомбы», которая была устранена в обновлении Chrome 65. По данным издания Bleeping Computer, уязвимости также подвержены браузеры Firefox, Opera, Vivaldi и Brave.

В чем суть «download-бомб»?

Злоумышленники используют метод JavaScript Blob и функцию window.navigator.msSaveOrOpenBlob, чтобы заставить браузер загружать один файл с такой частотой, что нагрузка процессора вырастает до 100 % за 5-10 секунд. В результате интерфейс программы зависает и пользователь не может закрыть браузер или открыть другую вкладку:

Этой атакой пользуются фальшивые сайты службы поддержки, которые запугивают своих жертв сообщением о том, что с их компьютера похищаются данные, а для решения проблемы необходимо сообщить по указанному номеру.

Кто под угрозой?

После исправления ошибки в версии Chrome 65.0.3325.70 она вновь появилась в вышедшем 12 июня 2018 года обновлении под номером 67.0.3396.87. Причем в этот раз угроза серьезнее: по сообщениям специалистов из Malwarebytes опасности подвержен также Firefox:

Кроме того, журналисты из Bleeping Computer протестировали proof-of-concept (PoC) код для Chrome и Firefox в других браузерах и пришли к выводу, что «download-бомбы» работают также в Vivaldi и Brave. Opera, в отличие от остальных, не зависла «намертво» после эксплойта и даже позволила переключить вкладку, но работающая PoC-страница не давала интерфейсу работать нормально, и браузер пришлось закрывать через «Диспетчер задач».

По результатам тестирования только Microsoft Edge и Internet Explorer оказались устойчивы к этой атаке.

Что делать, если попался?

Авторы Bleeping Computer утверждают, что атака запускается после полной загрузки веб-страницы. Поэтому в случае, если браузер пользователя настроен на открытие последнего сайта, то можно успеть закрыть вкладку до того, как интерфейс программы перестанет отвечать.

Это не первый случай, когда обновление вновь открывает ранее исправленные уязвимости в ПО. В конце июня 2018 года стало известно, что новая версия стандарта WebAssembly нивелирует защиту многих браузеров от Spectre, Meltdown и других атак.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов