研究人员在铬的基础上察觉了严重的缺陷Safezone浏览器

发布时间：2022-04-01 11:01:03 所属栏目：要闻来源：互联网

导读：一些防病毒供应商已经采取了开源铬浏览器，并创建了他们声称更隐私和安全的衍生品。然而，最近至少有两个人发现在铬中没有存在的严重缺陷。最新示例是AVAST Safezone浏览器，内部称为Avastium，安装了具有AVAST的抗病毒和安全套件的付费版本。Google Projec

　　一些防病毒供应商已经采取了开源铬浏览器，并创建了他们声称更隐私和安全的衍生品。然而，最近至少有两个人发现在铬中没有存在的严重缺陷。

　　最新示例是AVAST Safezone浏览器，内部称为Avastium，安装了具有AVAST的抗病毒和安全套件的付费版本。Google Project Zero Researcher Tavis Ormandy发现了一种漏洞，可能允许攻击者在任何其他本地安装的浏览器中打开攻击者控制的URL时控制亚维斯。

　　Ormandy创建了一种基于Web的概念漏洞证明，可以列出计算机的内容C：/驱动器，但攻击者可以轻松扩展它以使任何潜在的有趣文件发送回他。

　　根据Google研究员的说法，Avast在侦听端口27275上侦听的本地计算机上打开Web Accessible RPC服务。因此，在任何浏览器中打开的恶意网站可以通过强制浏览器将命令发送到此服务，以使请求对http：// localhost：27275 /命令进行请求。

　　本周Ormandy还披露了Chromodo的一个关键漏洞，该基于铬的浏览器是由安全公司Comodo分发的基于铬的浏览器，作为其互联网安全套件的一部分。该漏洞源于ChromoDo禁用最关键的浏览器安全机制之一，同样的原始策略。

　　Avast和Comodo不是唯一创建基于Chromium的所谓“安全”浏览器的安全供应商，并将其与其产品一起运送。如果Ormandy继续调查它们，那么看他是否发现在这种浏览器中引入的严重缺陷的其他例子并不存在于铬中，这将是有趣的。

　　Joxean Koret是一名安全研究员在过去发现杀毒产品的漏洞，建议Twitter上的人们不要使用防病毒供应商提供的浏览器。“我”分析了3。一切都破碎了，“他说。

　　“销售杀毒管道不合适，让你叉铬，你”重新搞砸了，“Ormandy在本周早些时候在Twitter消息中说。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!