网络安全研究人员发现一种能够使Chrome和Firefox浏览器在移动和桌面设备上崩溃的方法。他们的方法依赖于这些浏览器支持的搜索建议功能。如今大多数浏览器都有一个搜索框或者允许用户通过URL地址栏搜索。基于浏览器支持的搜索引擎,通过用户输入的查询能够显示搜索建议。守夜人安全专家表示,如果浏览器的搜索引擎不采用加密的HTTPS通道对搜索建议进行加密,那么攻击者便可以在本地网络上拦截搜索建议查询,并在搜索商之前提供搜索答案。
攻击者可以插入大量数据,从而导致浏览器或操作系统耗尽内存资源,最终崩溃。
好消息是研究人员在崩溃中没有执行将导致跟多问题的恶意代码。在他们的试验中,研究人员设法让Android4.4上的浏览器,Android 6.01上的Chrome 51,Ubuntu 16.04上的Firefox 47崩溃,并且他们使整个Ubuntu 16.04 OS在运行Chrome 51时崩溃。
用户使用不采用HTTPS的浏览器内置搜索就会导致上述的崩溃发生,受影响的浏览器和网站包括用Firefox上eBay,Chrome上AOL和ASK.COM,Android浏览器上Bing和Yahoo。而Internet Explorer、Edge和Safari不受影响。但是Safari必须处理今年年初的搜索崩溃问题,所以它并不像你想象的那么好。
Android,Chrome和Firefox团队拒绝将这个bug作为一个安全问题来修复,当然实际上它也不是,因此针对该bug的修复恐怕会来的更晚一些。
====================================分割线================================
本文转自d1net(转载)
