一家安全公司近日表示,谷歌的Chrome浏览器存在一个关键漏洞,在某种情况下允许攻击者在Windows计算机上安装恶意程序。
这家斯洛文尼亚的Acros安全公司表示,谷歌没有将这个错误归类为一个漏洞,而是称其为“需要加以考虑的奇怪的行为”。
Acros公司首席执行官Mitja Kolsek表示,这个漏洞是windows程序中的字符串之一,需要一些攻击策略才能被利用,又被称为“DLL加载劫持”、“二进制数据种植”和“文件种植”。
这种攻击于2010年8月进入公众视野,当时Metasploit渗透攻击工具包的创造者兼Rapid 7首席安全官HD Moore发现了几十个易受攻击的windows应用程序,随后HD Moore的报告得到Kolsek和Aros等公司的响应。
很多windows应用程序不是使用完整路径名来调用DLL,或者说动态链接库,而是使用文件名,这就使攻击者提供了一个机会,他们可以使用与需要的DLL相同的文件名来诱使一个应用程序来加载恶意文件。如果攻击者可以趁机欺骗用户访问恶意网站或者远程共享文件夹,或者让他们接入USB驱动器(在某些情况下,诱使用户打开一个文件),攻击者就可以劫持用户的计算机并安装恶意程序。
微软公司在过去13个月中提供了17个安全更新补丁来修复DLL加载劫持问题,最近的一次是在本月初。
Chrome浏览器的“沙盒”技术让浏览器与系统其他部分隔离开来,大多数安全专家认为Chrome浏览器位居最安全浏览器前五名。Chrome浏览器的“沙盒”技术并不能抵御DLL加载劫持攻击,Acros公司表示。
要利用这个漏洞的话,Chrome必须被设置为使用除谷歌以外的搜索引擎,这并不奇怪,谷歌浏览器默认的搜索引擎为谷歌。Acros公司证实,当用户将Yahoo或者Bing设置为浏览器首选搜索网站时,攻击者就可以成功发动对Chrome的攻击。
在攻击开始前,用户必须没有访问安全网站(即以HTTPS开头的网址),Acros补充说,并且在攻击启动的时候,用户还必须被诱使到加载一个文件,从而在屏幕上有打开的对话框。
这些先决条件对于谷歌来说,简直太多了。
一名谷歌开发人员表示,“我们并不认为这是一个安全漏洞,因为利用这个漏洞的先决条件太多了。”
这名开发人员还补充道,“这种漏洞利用的发生几率很低,所以我们将它当作是‘需要加以考虑的奇怪行为’,而不是漏洞。”对此Acros公司并不完全同意。
“这很难说,”Acros公司在谈到先决条件以及攻击者可能放过这个成功机率较高的漏洞的概率时说道,“作为安全研究人员,任何允许默认下载远程代码以及在用户计算机上执行而没有发出警告的问题,我们都会认定为一个漏洞。”
Acros公司在对这个漏洞的分析报告中提出了一个有趣的问题,“多少社会工程学算是太多了?”
这样的争论并不新鲜:当微软认为漏洞利用涉及“用户交互”(诱使用户完成一些攻击者的工作)时,就会降低漏洞严重程度。
Acros建议Chrome用户设置一个安全网站作为自己的主页,例如Gmail,从而阻碍这种攻击。虽然Acros没有提及其他方法,但用户也可以将Google保持作为该浏览器的默认搜索引擎来抵御这种攻击。