Браузеры снова стали уязвимы к атаке «download-бомбами»

Релиз браузера Chrome 67 вновь открыл брешь в безопасности, позволяющую злоумышленникам запускать так называемые «download-бомбы», которая была устранена в обновлении Chrome 65. По данным издания Bleeping Computer, уязвимости также подвержены браузеры Firefox, Opera, Vivaldi и Brave.

В чем суть «download-бомб»?

Злоумышленники используют метод JavaScript Blob и функцию window.navigator.msSaveOrOpenBlob, чтобы заставить браузер загружать один файл с такой частотой, что нагрузка процессора вырастает до 100 % за 5-10 секунд. В результате интерфейс программы зависает и пользователь не может закрыть браузер или открыть другую вкладку:

Download-bomb example

Этой атакой пользуются фальшивые сайты службы поддержки, которые запугивают своих жертв сообщением о том, что с их компьютера похищаются данные, а для решения проблемы необходимо сообщить по указанному номеру.

Кто под угрозой?

После исправления ошибки в версии Chrome 65.0.3325.70 она вновь появилась в вышедшем 12 июня 2018 года обновлении под номером 67.0.3396.87. Причем в этот раз угроза серьезнее: по сообщениям специалистов из Malwarebytes опасности подвержен также Firefox:

Кроме того, журналисты из Bleeping Computer протестировали proof-of-concept (PoC) код для Chrome и Firefox в других браузерах и пришли к выводу, что «download-бомбы» работают также в Vivaldi и Brave. Opera, в отличие от остальных, не зависла «намертво» после эксплойта и даже позволила переключить вкладку, но работающая PoC-страница не давала интерфейсу работать нормально, и браузер пришлось закрывать через «Диспетчер задач».

По результатам тестирования только Microsoft Edge и Internet Explorer оказались устойчивы к этой атаке.

Что делать, если попался?

Авторы Bleeping Computer утверждают, что атака запускается после полной загрузки веб-страницы. Поэтому в случае, если браузер пользователя настроен на открытие последнего сайта, то можно успеть закрыть вкладку до того, как интерфейс программы перестанет отвечать.

Это не первый случай, когда обновление вновь открывает ранее исправленные уязвимости в ПО. В конце июня 2018 года стало известно, что новая версия стандарта WebAssembly нивелирует защиту многих браузеров от Spectre, Meltdown и других атак.

Источник: Bleeping Computer

Подобрали три теста для вас:
— А здесь можно применить блокчейн?
Серверы для котиков: выберите лучшее решение для проекта и проверьте себя.
Сложный тест по C# — проверьте свои знания.

Также рекомендуем: