Браузеры снова стали уязвимы к атаке «download-бомбами»
По сообщениям специалистов по кибербезопасности, атаке «download-бомбами» подвержены Chrome, Firefox, Opera, Vivaldi и Brave.
Релиз браузера Chrome 67 вновь открыл брешь в безопасности, позволяющую злоумышленникам запускать так называемые «download-бомбы», которая была устранена в обновлении Chrome 65. По данным издания Bleeping Computer, уязвимости также подвержены браузеры Firefox, Opera, Vivaldi и Brave.
В чем суть «download-бомб»?
Злоумышленники используют метод JavaScript Blob и функцию window.navigator.msSaveOrOpenBlob, чтобы заставить браузер загружать один файл с такой частотой, что нагрузка процессора вырастает до 100 % за 5-10 секунд. В результате интерфейс программы зависает и пользователь не может закрыть браузер или открыть другую вкладку:
Этой атакой пользуются фальшивые сайты службы поддержки, которые запугивают своих жертв сообщением о том, что с их компьютера похищаются данные, а для решения проблемы необходимо сообщить по указанному номеру.
Кто под угрозой?
После исправления ошибки в версии Chrome 65.0.3325.70 она вновь появилась в вышедшем 12 июня 2018 года обновлении под номером 67.0.3396.87. Причем в этот раз угроза серьезнее: по сообщениям специалистов из Malwarebytes опасности подвержен также Firefox:
Кроме того, журналисты из Bleeping Computer протестировали proof-of-concept (PoC) код для Chrome и Firefox в других браузерах и пришли к выводу, что «download-бомбы» работают также в Vivaldi и Brave. Opera, в отличие от остальных, не зависла «намертво» после эксплойта и даже позволила переключить вкладку, но работающая PoC-страница не давала интерфейсу работать нормально, и браузер пришлось закрывать через «Диспетчер задач».
По результатам тестирования только Microsoft Edge и Internet Explorer оказались устойчивы к этой атаке.
Что делать, если попался?
Авторы Bleeping Computer утверждают, что атака запускается после полной загрузки веб-страницы. Поэтому в случае, если браузер пользователя настроен на открытие последнего сайта, то можно успеть закрыть вкладку до того, как интерфейс программы перестанет отвечать.
Это не первый случай, когда обновление вновь открывает ранее исправленные уязвимости в ПО. В конце июня 2018 года стало известно, что новая версия стандарта WebAssembly нивелирует защиту многих браузеров от Spectre, Meltdown и других атак.
2К открытий2К показов
Прокомментировала появление новой нейросети от OpenAI и оценила потенциальное увеличение фейковых новостей в связи с этим событием.
Google добавила в Chrome огромное количество улучшений, так или иначе завязанных на «прокачке» безопасности браузера. На всех платформах
Максим Арокен делится советами с чего начать изучение веб-разработки, как не забросить в самом начале и какую дополнительную технологию изучить, чтобы легче находить заказы на фрилансе.
Alek OS рассказал, как с развитием технологий изменялись модели и алгоритмы шифрования данных, почему мощность компьютера — основная причина их устаревания и как компьютеры обмениваются ключами дешифровки.