新發現的瀏覽器漏洞允許覆蓋剪貼板內容 可能嚴重影響加密貨幣安全


一個影響Chrome、Firefox和Safari的瀏覽器漏洞在最近的Chrome軟件發佈後被發現。Google開發人員發現這個基於剪貼板的攻擊,當用戶訪問一個被攻擊的網頁時,惡意網站可以覆蓋用戶的剪貼板內容。該漏洞也影響到所有基於Chromium的瀏覽器,但似乎在Chrome瀏覽器中最為普遍,目前用於復制內容的用戶手勢被列為問題報告。

Google開發人員傑夫-約翰遜解釋該漏洞是如何被觸發的,幾種方式都是授予頁面覆蓋剪貼板內容的權限。一旦授予權限,用戶可以通過主動觸發剪切或復制動作,點擊頁面中的鏈接,甚至采取在有關頁面上向上或向下滾動這樣簡單的動作來影響。

瀏覽器之間的區別在於,Firefox和Safari用戶必須使用Control+C或⌘-C主動將內容復制到剪貼板,而Chrome用戶隻需查看一個惡意頁面不超過幾分之一秒就可以受到影響。

約翰遜的博文引用Šime的視頻例子,Šime是一傢專門面向網絡開發者的內容創作者。Šime的演示揭示Chrome瀏覽器用戶受到影響的速度有多快,隻要在活動的瀏覽器標簽之間切換,就會觸發該漏洞。無論用戶進行多長時間或何種類型的互動,惡意網站都會立即用威脅者決定提供的內容取代任何剪貼板內容。

約翰遜的博客提供技術細節,描述一個頁面如何獲得寫到系統剪貼板的權限。一種方法是使用現在已被廢棄的命令,即document.execCommand。

另一種方法是利用最近的navigator.clipboard.writetext API,它有能力將任何文本寫入剪貼板而不需要額外的操作。一個演示說明針對同一漏洞的兩種方法如何工作。

雖然這個漏洞表面上聽起來沒有什麼破壞性,但用戶應該保持警惕,惡意行為者可以利用內容交換來利用毫無戒心的受害者。例如,一個欺詐性網站可以用另一個欺詐性URL替換之前復制的URL,在不知情的情況下將用戶引向旨在獲取信息和破壞安全的其他網站。

該漏洞還為威脅者提供將復制的加密貨幣錢包地址保存在剪貼板上的能力,替換為由惡意第三方控制的另一個錢包的地址。一旦交易發生,資金被發送到欺詐性錢包,受害的用戶通常幾乎沒有能力追蹤和收回他們的資金。

Google已經意識到這個漏洞,並有望在不久的將來發佈一個補丁。在此之前,用戶應謹慎行事,避免使用基於剪貼板的復制內容打開網頁,並在繼續進行任何可能危及其個人或財務安全的活動之前驗證其復制內容的輸出。


相關推薦

2022-09-01

雖然許多剪貼板 API 交互都是通過 Ctrl+C 這樣的快捷鍵實現的,但在許多情況下,網站交互可以做到更加神不知鬼不覺。Johnson 在 Safari 和 Firefox 上的測試表明,即使按向下 ↓ 箭頭、或使用鼠標滾輪在網站上導航,都可被授予當

2022-08-17

時間?國外科技媒體 9to5Google 的 Dylan Roussel 做一些挖掘,發現在 Android 13 中,剪貼板一個小時後自動清除——具體來說是 3,600,000 毫秒。而且目前這個時間是系統預設的,用戶無法進行更改。

2022-10-18

器的外觀另一項功能,即Firefox View幫助人們回到他們之前發現的內容。它可以讓用戶在當前設備上找到並打開最近關閉的標簽,從其他設備上訪問標簽。Firefox 106還支持通過Colorways改變瀏覽器的外觀。Mozilla與一位行業色彩專傢合

2023-11-29

留限制, ”該公司表示。此舉旨在減少威脅行為者利用新發佈的有關該漏洞的技術信息開發自己的 CVE-2023-6345 漏洞的可能性。9 月份,Google修復攻擊中利用的另外兩個零日漏洞(編號為 CVE-2023-5217 和 CVE-2023-4863),這是自 2023 年

2022-08-19

ightly瀏覽器的用戶在激活圖片的上下文菜單時可能會偶然發現一個新的“從圖片復制文本”的選項。文本識別是Mozilla計劃在Firefox穩定版中整合的一項新功能。該功能背後的主要想法是為Firefox瀏覽器添加一個選項以從圖像中提取

2022-08-12

新版本。選擇該選項後,瀏覽器會自動下載並安裝新版本的瀏覽器。新用戶可以訪問Vivaldi主網站進行下載。下載:Vivaldi 5.4 穩定版Web 面板是 Vivaldi 瀏覽器的核心功能之一。它默認顯示在左側的小邊欄中,可用於顯示網站相關信

2024-03-13

安全行業目前的慣例是研究人員發現漏洞並通報給開發商後,開發商有三個月的時間進行修復,當然如果覺得三個月時間不夠,還可以與研究人員溝通適當延長漏洞的公開披露時間。日前安全研究人員 Wladimir Palant 在自己的網站

2024-03-23

UA 信息,見結尾附註 1),此時詐騙網站沒有檢測到有效的瀏覽器 UA,於是返回福佈斯網站的一個鏈接。於是 X 會在推文發佈後將其標註為來自福佈斯網站。第二個測試截圖在附帶瀏覽器 UA 的情況下,可以看到這個詐騙網站返回

2022-10-07

密貨幣巨頭Binance被盜之後更是讓這一現狀雪上加霜。該漏洞嚴重影響BinanceBridge,這是一個跨鏈橋,允許代幣在Binance加密貨幣交易所運營的兩個相關區塊鏈之間轉移,並統稱為BNBChain。根據知名智能合約分析師samczsun的說法,攻

2024-03-28

明該組織"日益復雜"。就目標產品而言,研究人員發現,威脅行為者尋求"產品或組件中的漏洞,這些產品或組件提供對多個目標的廣泛訪問"。研究人員說,梭子魚電子郵件安全網關、思科自適應安全設備、Ivanti En

2022-07-22

um和Gecko:Chromium內核不用多說,目前國際市場上排的上號的瀏覽器多數都是Chromium內核,Gecko是Firefox的內核當然也被支持。微軟還要求開發者提交上架時必須確保版本及時跟進,相差不得超過2個版本。例如Chromium 100版發佈後,那

2024-03-06

蘋果公司還更新電池的支持信息,因為該公司重新測試後發現,iPhone 15 的電池在 1,000 次完整充電循環後,可以保持 80% 的原始容量。被盜設備保護在"設置"應用程序的"被盜設備保護"部分,現在有一個選項,可以

2024-02-15

t;鏈接"元素,引入新的"rel=monetization"屬性來實現的。網絡出版商可以將新屬性添加到網站代碼中,而用戶則可以設置一個數字錢包(Gatehub、Fynbos 或其他)來發送付款。蘇爾科夫說,網絡貨幣化有助於促進用戶自願貢

2023-11-05

,YouTube 最近也采取這一措施。Google公司開發目前最流行的瀏覽器 Chrome 瀏覽器,但它同樣不支持 Android 版 Chrome 瀏覽器的擴展功能。人們猜測,Google不這樣做是因為Android用戶會屏蔽廣告,而這正是廣告巨頭所關心的問題。然而