天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

AVG Site Safety发力谷歌Chrome,率先抵御Chrome最新标签漏洞

2011-11-17天空软件佚名
p>         近日,AVG中国病毒实验室监测到Chrome最新标签漏洞被黑客利用。其危害不仅仅是导致浏览器崩溃等现象,更会强制用户点击黑客的目标页面,而这些页面很有可能已经被黑客挂马,用户一旦进入就可能感染木马。

         下面是此次漏洞被利用的详情:

         chrome的标签修正特性漏洞:
         <script><!--
         var x = "pwned</script x><script x>alert(1);//";
         //--></script>

         该漏洞是由于之前Chrome对 xss filter的标签修正不完善而留下的。chrome动态修正了这个HTML文档的3处节点:

         1. </script x> 修正为 </script>
         2. 闭合了<script x>
         3. 闭合多出的</script>

         Chrome的标签修正特性只是按标签配对来修正的,没有考虑HTML注释等情况,因此导致该漏洞的产生。

         尽管由于空间限制,该漏洞无法被直接用来运行shellcode、crash或者download,但仍可被黑客用作“跳板”来访问其他站点。

         1. 页面跳转

         代码稍作修改就能实现页面的跳转:

         结合Clickjacking,将使得跳转变得更加隐蔽。

         2. 虚假信息、广告

         弹出中奖等信息,诱使浏览者访问。假冒的微博、QQ等热门网站都可能成为黑客的目标。

         除此之外,结合javascript的其他功能,该漏洞还会导致更严重的后果。诸如使浏览器崩溃。

         同时,经过AVG中国实验室的监测,该漏洞同样适用于Firefox 7.0.1,建议广大的火狐用户及时升级您的杀毒软件和浏览器。

         而Chrome用户,则可以直接到Chrome Web Store(http://chrome.google.com/webstore)添加AVG Site Safety至“我的Chrome”或者直接访问下面这个网址进行快速的安装https://chrome.google.com/webstore/detail/ncnjjicckpooflgclhneahpkahcpoama 即可。

         AVG Site Safety是专门为谷歌的Chrome浏览器所设计的。通过安装Site Safety,Chrome用户可以实时的对网站进行安全检查,甄别存在风险的网站。更突出的是,Site Safety能够为用户提供一种“打分”机制,无论用户访问何种网站,均可以对网站进行评分,之后的访问用户则可以随时观看这种打分情况。通过“喜欢”与“不喜欢”,用户可以快速甄别网站是否含有浏览价值或者是否含有危险链接等。与打分相匹配的,用户也可以提交评论,作为对打分的一种补充。通过用户贡献的这种喜好舆论,AVG能够为用户带来更好、更及时、更准确的安全体验。

         AVG始终坚持“我们努力工作,让您尽情享受”,网上娱乐和工作在安全的前提下进行才最重要。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行