网络第5域

新发现的浏览器漏洞允许覆盖剪贴板内容 可能严重影响加密货币安全

字号+作者: 来源:cnBeta.COM 2021-11-30 03:37 评论(创建话题) 收藏成功收藏本文

Google开发人员杰夫-约翰逊解释了该漏洞是如何被触发的,几种方式都是授予页面覆盖剪贴板内容的权限。一旦授予权限,用户可以通过主动触发剪切或复制动作,'...

mYn品论天涯网

Google开发人员杰夫-约翰逊解释了该漏洞是如何被触发的,几种方式都是授予页面覆盖剪贴板内容的权限。一旦授予权限,用户可以通过主动触发剪切或复制动作,点击页面中的链接,甚至采取在有关页面上向上或向下滚动这样简单的动作来影响。mYn品论天涯网

浏览器之间的区别在于,Firefox和Safari用户必须使用Control+C或⌘-C主动将内容复制到剪贴板,而Chrome用户只需查看一个恶意页面不超过几分之一秒就可以受到影响。mYn品论天涯网

约翰逊的博文引用了Šime的视频例子,Šime是一家专门面向网络开发者的内容创作者。Šime的演示揭示了Chrome浏览器用户受到影响的速度有多快,只要在活动的浏览器标签之间切换,就会触发该漏洞。无论用户进行了多长时间或何种类型的互动,恶意网站都会立即用威胁者决定提供的内容取代任何剪贴板内容。mYn品论天涯网

约翰逊的博客提供了技术细节,描述了一个页面如何获得写到系统剪贴板的权限。一种方法是使用现在已被废弃的命令,即document.execCommand。mYn品论天涯网

mYn品论天涯网

另一种方法是利用最近的navigator.clipboard.writetextAPI,它有能力将任何文本写入剪贴板而不需要额外的操作。一个演示说明了针对同一漏洞的两种方法如何工作。mYn品论天涯网

虽然这个漏洞表面上听起来没有什么破坏性,但用户应该保持警惕,恶意行为者可以利用内容交换来利用毫无戒心的受害者。例如,一个欺诈性网站可以用另一个欺诈性URL替换之前复制的URL,在不知情的情况下将用户引向旨在获取信息和破坏安全的其他网站。mYn品论天涯网

该漏洞还为威胁者提供了将复制的加密货币钱包地址保存在剪贴板上的能力,替换为由恶意第三方控制的另一个钱包的地址。一旦交易发生,资金被发送到欺诈性钱包,受害的用户通常几乎没有能力追踪和收回他们的资金。mYn品论天涯网

mYn品论天涯网

Google已经意识到了这个漏洞,并有望在不久的将来发布一个补丁。在此之前,用户应谨慎行事,避免使用基于剪贴板的复制内容打开网页,并在继续进行任何可能危及其个人或财务安全的活动之前验证其复制内容的输出。mYn品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]