谷歌解决浏览器漏洞

互联网 2020-01-23 15:25:18

哦,不。从不安慰阅读任何类型的登录盗窃,这是不足为奇的,一个安全侦探创造了新闻时,他发现了一个问题与Chrome。再次,方便的价格成为一个话题,这一次在提供中保存Wi-Fi凭证,并为您的方便自动重新输入它们。

本月早些时候曾描述过一个Chrome浏览器的问题,这可能会给黑客留下一扇门。好消息是流行浏览器的安全故障得到了解决;谷歌修复了漏洞。

问题涉及在未加密的HTTP页面上自动填充凭据。SureCloud发布了随后的消息,Chrome的最新更新(测试版本为69.0.3497.81)解决了这一问题。最新版本的Chrome浏览器,版本69,已经发布,并携带了补丁。

ZDNet安全记者Catalin Cimpanu表示,这是一个“设计问题”,攻击者可以利用这个问题窃取Wi Fi登录,无论是从国内还是从企业网络。

贝塔新闻引述SureCloud网络安全实践总监卢克·波特(Luke Potter)的话说。“在安全性和便利性之间总是存在权衡的,但我们的研究清楚地表明,网络浏览器中存储登录凭据的功能正使数百万家庭和商业网络受到广泛的攻击-即使这些网络被认为是以强大的密码安全的。”

英国网络安全公司SureCloud的研究员埃利奥特·汤普森(Elliot Thompson)表示,该公司已经发明了一种利用设计问题的技术。汤普森的“Wi-Jacking”与Chrome在Windows上合作。

汤普森在9月4日发表的《SureCloud》(SureCloud)文章中说:“在最近的一次接触中,我们发现了浏览器行为的有趣互动,以及几乎每一个家庭路由器的公认弱点,这些路由器都可以用来接入海量的WiFi网络。”

与保存的凭据相关的浏览器行为。保存在浏览器中的证书,绑定到URL,当再次看到时会自动插入到相同的字段中。路由器的弱点是使用未加密的HTTP连接到管理接口。尽管如此,汤普森说,有一个解决办法,这条道路的证书盗窃,他在他的9月4日的帖子中讨论。

“从根本上说,这只是网络之间共享和信任起源方式的一个缺陷。在家庭路由器的情况下,它们是可预测的,足以成为一个可行的目标。最简单的解决方案是浏览器避免在不安全的HTTP页面上自动填充输入字段。这会降低可用性,这是可以理解的,但它会大大增加盗用证书的障碍。”

当时,Thompson建议“清除浏览器保存的密码,不要为不安全的HTTP页面保存凭据。”

“汤普森说,他在今年3月向谷歌、微软和ASUS报告了这一问题,”Cimpanu说。谷歌在报告中说,不允许Chrome自动填写HT TP字段的密码。

除了Chrome,其他浏览器是否也易受攻击??Thompson9月4日表示:“火狐、IE/Edge和Safari需要大量的用户交互,因此攻击确实有效,但更多的是基于社会工程。”“与Chrome相比,它更加无缝。”

通常的建议适用:更新。Cimpanu写道,“更新到Chrome69.0.3497.81或更高版本应该能让用户免受Wi-Jacking攻击。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢