谷歌浏览器漏洞，让网站静默覆盖剪贴板内容

发布日期：2022-09-07

谷歌Chrome网络浏览器以及基于Chromium的浏览器中存在“重大”问题，可能允许恶意网页自动覆盖剪贴板内容，只要访问网站，无需任何用户许可或交互。

据开发人员 Jeff Johnson 称，剪贴板中毒攻击是在 Chrome 104版本中意外出现。

虽然 Apple Safari 和 Mozilla Firefox 中也存在该问题，但在 Chrome 中使问题变得严重的原因在于，使用用户手势复制内容到剪贴板的方式已经被攻破，其中包括选择一段文本按住“Ctrl +C”复制或在右键下拉列表中选择复制。

因此，像点击链接、按住鼠标向下滚动等一般性的操作，都会允许网站覆盖您的系统剪贴板。

这种可以替换剪贴板数据的能力会带来安全隐患。在一个假设的攻击场景中，攻击者可能会引诱受害者访问恶意登录页面，并重写受害者先前复制的加密货币钱包的地址，从而导致未经授权的资金转移。或者，攻击者可以用特制的网站连接覆盖剪贴板内容，导致受害者下载危险软件。

“当您浏览网页是，该页面可能在您不知情的情况下，擦除当前可能对您有价值的系统剪贴板内容，然后用恶意页面需要的任何内容替换它，下一次粘贴时，替换的恶意内容可能给你带来危险。”Johnson道。

谷歌已经知道这个漏洞信息，鉴于漏洞的严重性和恶意行为者滥用的可能性，预计很快就会发布针对性的补丁。

在此期间，建议用户不要使用剪切、复制和粘贴的操作打开网页，并在执行敏感操作（例如金融交易）之前，验证剪贴板内容。

最新消息是，谷歌已经发布了适用于 Windows、macOS 和 Linux 的新版 Chrome (105.0.5195.52/53/54)，修复了 24 个缺陷，其中 10 个与网络服务、WebSQL、 WebSQL、PhoneHub 等应用中的释放后使用错误有关。

声明：文章消息来源thehackernews，沃通翻译整理，目的在于传递更多信息。如有侵权，请联系本站处理。