2. 程式人生 > >谷歌瀏覽器存嚴重漏洞,黑客能夠劫持和註入攻擊

谷歌瀏覽器存嚴重漏洞,黑客能夠劫持和註入攻擊

阿新 發佈:2018-06-07
也會 跨站點 img 建議 更新 技術 推出 splay 資源

  谷歌安全研究人員Micha?Bentkowski在5月下旬發現並報告了谷歌瀏覽器存在嚴重漏洞,影響所有主要操作系統(包括Windows,Mac和Linux)的網頁瀏覽軟件。

技術分享圖片

  Chrome安全團隊指出:在沒有透露任何有關漏洞的技術細節的情況下,Chrome安全團隊將此問題描述為在今天發布的博客文章中錯誤處理CSP頭(CVE-2018-6148)。

  “訪問錯誤細節和鏈接可能會受到限制,直到大多數用戶更新了修復程序。如果錯誤存在於其他項目同樣依賴但尚未修復的第三方庫中,我們也會保留限制“。

  內容安全策略(ContentSecurityPolicy,CSP)頭允許網站管理員通過允許他們控制允許瀏覽器加載的資源來在給定網頁上添加額外的安全層。

  您的Web瀏覽器對CSP頭的錯誤處理可能會重新使黑客攻擊者能夠在任何目標網頁上執行跨站點腳本,點擊劫持和其他類型的代碼註入攻擊。

  針對Windows,Mac和Linux操作系統的穩定版Chrome更新67.0.3396.79已將該漏洞修補程序推出給其用戶,用戶可能已經在未來幾天/幾周內收到或將收到該修補程序。

  Firefox還發布了其新版本的Firefox瀏覽器,版本60.0.2其中包括安全性和錯誤修復。因此,建議穩定版本的Firefox用戶及時更新瀏覽器,避免黑客入侵。(黑客周刊) 

谷歌瀏覽器存嚴重漏洞,黑客能夠劫持和註入攻擊

相關推薦

瀏覽器嚴重漏洞黑客能夠劫持攻擊

也會 跨站點 img 建議 更新 技術 推出 splay 資源   谷歌安全研究人員Micha?Bentkowski在5月下旬發現並報告了谷歌瀏覽器存在嚴重漏洞,影響所有主要操作系統(包括Windows,Mac和Linux)的網頁瀏覽軟件。   Chrome安全團隊指出:

ubuntu(linux)下瀏覽器跨域問題XMLhttprequest跨域問題

replace mod class req box tps 圖片 ebs nal ubuntu(linux)下谷歌瀏覽器跨域問題 今天在使用谷歌瀏覽器實時調試代碼的時候遇到這樣的錯誤: XMLHttpRequest cannot load http:/

Visual Studio 2017 開啟瀏覽器除錯不成功其它瀏覽器除錯成功!出現不能連線到執行時程序求解答!

Cannot connect to runtime process,timeout after 10000 ms-(reason:Cannot connect to the target: connect ECONNREFUSED 127.0.0.1:55236). 不能連

瀏覽器記住密碼之後輸入框變色問題

如圖:以前沒有注意過。谷歌瀏覽器在記住密碼之後,再次開啟這個頁面。輸入框會有淡黃色的背景色。剛開始怎麼都不行。後來偶然發現原來是有個:-webkit-autofill屬性 於是,後來百度了下,發現有兩個方法可以解決:不過我只試了一中,另外一種好像有點問題 方法一:給

最新Zip壓縮文件漏洞黑客可以觸發目錄遍歷攻擊

AS 文件覆蓋 使用 用戶添加 owas 代碼 項目 一個 人員   近日,國內某安全公司研究人員透露了一個關鍵漏洞的詳細信息,該漏洞影響了許多生態系統中的數千個項目,黑客可以利用這些漏洞在目標系統上實現代碼執行。   黑客是如何通過Zip壓縮文件入侵攻擊?被稱為“Zip

最新Zip壓縮檔案漏洞黑客可以觸發目錄遍歷攻擊

  近日,國內某安全公司研究人員透露了一個關鍵漏洞的詳細資訊,該漏洞影響了許多生態系統中的數千個專案,黑客可以利用這些漏洞在目標系統上實現程式碼執行。  黑客是如何通過Zip壓縮檔案入侵攻擊?被稱為“ZipSlip”的問題是一個任意的檔案覆蓋漏洞,在從檔案檔案中提取檔案時觸發

瀏覽器不能使用opener屬性的問題解決

我先放一個簡化的案例: 父頁面: <html><head><title>HTML_CSSS</title><script type="text/javascript">function open_func() {w

被墻怎樣給瀏覽器加入迅雷下載插件

模式 ott 下載 chrome 程序 lan 宋體 能夠 font 首先須要下載這個迅雷下載插件。下載地址是:http://pan.baidu.com/s/1G0F2e 本來在谷歌的擴展程序裏面能夠搜索到這個插件的,但被墻了之後()。訪問不了。也就下載不到了,辛虧在網

selenium3.4.0-java啟動瀏覽器火狐瀏覽器

java 4.0 col files nag bin style implicit timeout 啟動谷歌瀏覽器 @Before public void setUp() throws Exception { System.setProperty(

瀏覽器(Chrome)禁止瀏覽器 設置

cut vfl 谷歌瀏覽器 eba rdl jre sdp net mta 在開發項目期間用谷歌瀏覽器調試,他總是緩存我的css樣式這個很氣人啊,後經過摸索找到了方法,如下 先F12或者shift+ctrl+j 打開調試者工具,在找Network這個tab按鈕,點擊進入,

瀏覽器怎樣把網頁全部內容保為.mhtml文件?

com height 啟用 地址 bubuko inf pos width led Chrome保存.mhtml網頁文件的方法: 在 Chrome 地址欄中鍵入chrome://flags,回車, 在頁面搜索欄輸入mhtml 把“Save Pag

瀏覽器input獲得焦點時背景變黃如何取消。

谷歌 ×××背景邊框 開發時,遇到了一個谷歌瀏覽器自帶樣式, input標簽獲得焦點時,背景自動變黃。網上查了點資料都沒解決方案,現特此奉上解決方案。其實那個×××不是背景,是css3的新的樣式,陰影。css裏面加入如下樣式即可解決 input{ -webkit-box-shadow:non

瀏覽器擴充套件程式一鍵解決本地開發跨域問題讓你不用亂mock資料

谷歌瀏覽器擴充套件程式一鍵解決本地開發跨域問題,讓你不用亂mock資料 1.在谷歌瀏覽器中開啟它的網上應用商店 (需要翻牆);如果你無法翻牆可以下載我的這個工具包 1.1工具包用法:在谷歌瀏覽器上輸入:chrome://extensions/ 進入拓展管理介面然後將剛剛下載的工具包中的1

SCRIPT1003: 缺少 ':'IE瀏覽器會報錯無法執行成功。而瀏覽器可以。

主要原因還是IE相容性較差,目前IE11支援ES5寫法,對ES6支援缺失。 var vue_table1 = {   data() {     return {       ...     } &nb

瀏覽器internet explorer所有網頁打不開而Edge瀏覽器卻可以開啟網頁

我由於安裝Visualbox進行hadoop分散式環境搭建導致了題目中的問題,經過網上查閱資料,才知道原來是LSP異常所致。只需要在命令列視窗中輸入下面命令: netsh winsock reset

安卓微信開啟X5除錯使微信頁面可以在瀏覽器除錯【chrome://inspect/#devices】

1.微信瀏覽器開啟:http://debugx5.qq.com2.開啟後選擇以下選項3.開啟微信公眾號頁面4.開啟chrome://inspect/#devices  然後按移動端除錯方式開啟微信公眾號

播放語音支援瀏覽器自動播放

1.最近的專案用到了語音播放的,呼叫的是百度語音合成語音的介面,接入後發現在谷歌瀏覽器會報錯,其它瀏覽器可以正常播放。 2.通過搜尋瞭解到在Chrome 66以上的最新瀏覽器中,自動播放的視訊要麼是靜音視訊,要麼就是沒有聲音的視訊,或者是使用者手動點選後播放的有聲視訊 3.在HTML5中新增了 <v

同步火狐瀏覽器瀏覽器的密碼書籤

對於前端和測試而言,chrome和Firefox是非常常用的瀏覽器,有時候我們通過chrome訪問的網站會將密碼和賬號儲存在瀏覽器中,這樣避免下次輸入浪費時間,然而我們到FF中依然要輸入賬戶和密碼並再次儲存,這樣顯然是很繁瑣的。 然而當你看到這篇部落格的時候,解決辦法就有了! 彈出下

無緣無故,瀏覽器主頁被篡改為360導航如何解決?

今天早上一來公司,發現電腦上各個瀏覽器的主頁都變成了360導航頁面,怎麼改都改不掉,太TM噁心了,360憑藉安全衛士的優勢強制更改使用者配置,你說你要臉嗎? 後來在度娘裡終於找到了一個比較不錯的解決辦

div隨滾動條上下滾動onscroll事件相容IE、火狐、瀏覽器

<script type="text/javascript"> var scrollFunction=function(e){ e=e || window.event; var _h = document.documentElemen