為了應(yīng)對 Spectre 漏洞����,Google 推出了名為“Strict Site Isolation”(嚴(yán)苛網(wǎng)站隔離)的安全功能,主要是防止未經(jīng)授權(quán)的數(shù)據(jù)被盜�����。不過近日一支由多所國際大學(xué)組成的團(tuán)隊(duì)發(fā)現(xiàn)了 Spook.js���,這種惡意的 java script 代碼可以繞過 Google 的這項(xiàng)安全功能從其他標(biāo)簽中獲取密碼等敏感數(shù)據(jù)。
目前�����,安全專家已經(jīng)證實(shí) Intel 處理器和蘋果M1 芯片受到影響���,但AMD芯片也被認(rèn)為存在風(fēng)險(xiǎn)��,但是目前并沒有得到充分證明�����。
該團(tuán)隊(duì)由喬治亞理工學(xué)院���、阿德萊德大學(xué)����、密歇根大學(xué)和特拉維夫大學(xué)的研究人員組成�����。他們說�,“盡管 Google 試圖通過部署嚴(yán)格的網(wǎng)站隔離來緩解 Spectre,但在某些情況下���,通過惡意的 java script 代碼提取信息仍然是可能的”����。
研究人員繼續(xù)說:“更具體地說�,我們表明,攻擊者控制的網(wǎng)頁可以知道用戶當(dāng)前正在瀏覽同一網(wǎng)站的哪些其他頁面�,從這些頁面中獲取敏感信息,甚至在自動(dòng)填充時(shí)恢復(fù)登錄憑證(例如����,用戶名和密碼)。我們進(jìn)一步證明,如果用戶安裝了一個(gè)惡意擴(kuò)展����,攻擊者可以從 Chrome 擴(kuò)展(如憑證管理器)中檢索數(shù)據(jù)”。
安全研究人員分享了幾段視頻���,展示了 Spook.js 的行動(dòng)�����。在第一段視頻中�����,該攻擊被用來從 Chrome 瀏覽器的內(nèi)置憑證管理器中獲取 Tumblr 博客的密碼。
在第二個(gè)視頻中����,一個(gè)惡意的瀏覽器擴(kuò)展被用來從 LastPass 盜取主密碼。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
