AVG Site Safety发力谷歌Chrome 抵御标签漏洞

近日，AVG中国病毒实验室监测到Chrome最新标签漏洞被黑客利用。其危害不仅仅是导致浏览器崩溃等现象，更会强制用户点击黑客的目标页面，而这些页面很有可能已经被黑客挂马，用户一旦进入就可能感染木马。

下面是此次漏洞被利用的详情：

chrome的标签修正特性漏洞：

                 [script][!— var x = "pwned[/script x\][script x\]alert(1);//"; //--][/script]

该漏洞是由于之前Chrome对 xss filter的标签修正不完善而留下的。chrome动态修正了这个HTML文档的3处节点：

(1) [/script x\] 修正为 [/script]

(2) 闭合了[script x\]

(3) 闭合多出的[/script]

Chrome的标签修正特性只是按标签配对来修正的，没有考虑HTML注释等情况，因此导致该漏洞的产生。

尽管由于空间限制，该漏洞无法被直接用来运行shellcode、crash或者download，但仍可被黑客用作“跳板”来访问其他站点。

1.页面跳转

代码稍作修改就能实现页面的跳转：

结合Clickjacking，将使得跳转变得更加隐蔽。

2.虚假信息、广告

弹出中奖等信息，诱使浏览者访问。假冒的微博、QQ等热门网站都可能成为黑客的目标。

除此之外，结合javascript的其他功能，该漏洞还会导致更严重的后果。诸如使浏览器崩溃。

同时，经过AVG中国实验室的监测，该漏洞同样适用于Firefox 7.0.1，建议广大的火狐用户及时升级您的杀毒软件和浏览器。

而Chrome用户，则可以直接到Chrome Web Store（http://chrome.google.com/webstore）添加AVG Site Safety至“我的Chrome”或者直接访问下面这个网址进行快速的安装https://chrome.google.com/webstore/detail/ncnjjicckpooflgclhneahpkahcpoama即可。

AVG Site Safety是专门为谷歌的Chrome浏览器所设计的。通过安装Site Safety，Chrome用户可以实时的对网站进行安全检查，甄别存在风险的网站。更突出的是，Site Safety能够为用户提供一种“打分”机制，无论用户访问何种网站，均可以对网站进行评分，之后的访问用户则可以随时观看这种打分情况。通过“喜欢”与“不喜欢”，用户可以快速甄别网站是否含有浏览价值或者是否含有危险链接等。与打分相匹配的，用户也可以提交评论，作为对打分的一种补充。通过用户贡献的这种喜好舆论，AVG能够为用户带来更好、更及时、更准确的安全体验。

AVG始终坚持“我们努力工作，让您尽情享受”，网上娱乐和工作在安全的前提下进行才最重要。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友