Google云端硬盘存在一个漏洞,根据系统管理员A Nikoci的说法,该漏洞可以使黑客欺骗用户安装恶意软件。Nikoci在接受Hacker News采访时表示,黑客可能会滥用Google Drive中未修补的安全漏洞来散布伪装成合法图像或文档的损坏或恶意文件。他说,他已使Google意识到该错误。
该安全漏洞位于Google云端硬盘的“管理版本”功能中。管理版本功能允许用户上载以及管理文件的不同版本。使用此功能,用户可以跟踪对其Google云端硬盘文件所做的任何更改,包括跟踪谁进行了这些更改。
可以注意到的更改包括跟踪何时有人在Google文档中进行了编辑或注释,重命名了文件或文件夹,将新文件上载到文件夹,移动或删除了项目以及何时有人共享或取消共享文件或夹。
根据报告,当通过“管理版本”替换文件时,Google云端硬盘不会检查文件的类型是否相同,甚至不执行相同的扩展名。Nikoci表示,仅当新文件具有相同的扩展名时,该功能才应替换旧文件,但事实并非如此。此外,在文件下载或安装之前,在线预览不会在替换文件的过程中警告用户或发出任何警报。因此,用户不知道自己的合法文件已被恶意文件替换,从而造成损坏。即使其他防病毒软件检测到恶意软件,Google Chrome浏览器也会信任通过Google云端硬盘下载的文件。
黑客可以使用此安全漏洞进行鱼叉式网络钓鱼攻击。鱼叉式网络钓鱼攻击旨在收回用户的机密信息,从而造成用户伤害。
Google尚未对此发表正式声明,但根据IANS的最新报告,该公司最近已修复了最新版本的Chrome浏览器中的一个严重漏洞,该漏洞可能导致代码执行。
Google Chrome网络浏览器的“ WebGL”组件中有一个“售后使用”漏洞,该漏洞可能允许用户在浏览器进程的上下文中执行任意代码。通过适当的内存布局操作,攻击者可以完全控制此释放后使用漏洞,该漏洞最终可能导致在浏览器上下文中任意执行代码。
思科Talos的Jon Munshaw表示,安全研究人员与Google进行了合作,以确保解决这些问题并为受影响的客户提供更新。
Munshaw周一对IANS说:“该漏洞专门存在于ANGLE中,ANGLE是Chrome在Windows系统上使用的OpenGL与Direct3D之间的兼容层,”
黑客可以以某种方式操纵浏览器的内存布局,从而可以控制自由使用后的利用,最终可能导致任意代码执行。