一家安全公司近日表示，谷歌的Chrome瀏覽器存在一個(gè)關(guān)鍵漏洞，在某種情況下允許攻擊者在Windows計(jì)算機(jī)上安裝惡意程序。

這家斯洛文尼亞的Acros安全公司表示，谷歌沒有將這個(gè)錯(cuò)誤歸類為一個(gè)漏洞，而是稱其為“需要加以考慮的奇怪的行為”。

Acros公司首席執(zhí)行官M(fèi)itja Kolsek表示，這個(gè)漏洞是windows程序中的字符串之一，需要一些攻擊策略才能被利用，又被稱為“DLL加載劫持”、“二進(jìn)制數(shù)據(jù)種植”和“文件種植”。

這種攻擊于2010年8月進(jìn)入公眾視野，當(dāng)時(shí)Metasploit滲透攻擊工具包的創(chuàng)造者兼Rapid 7首席安全官HD Moore發(fā)現(xiàn)了幾十個(gè)易受攻擊的windows應(yīng)用程序，隨后HD Moore的報(bào)告得到Kolsek和Aros等公司的響應(yīng)。

很多windows應(yīng)用程序不是使用完整路徑名來調(diào)用DLL，或者說動(dòng)態(tài)鏈接庫，而是使用文件名，這就使攻擊者提供了一個(gè)機(jī)會(huì)，他們可以使用與需要的DLL相同的文件名來誘使一個(gè)應(yīng)用程序來加載惡意文件。如果攻擊者可以趁機(jī)欺騙用戶訪問惡意網(wǎng)站或者遠(yuǎn)程共享文件夾，或者讓他們接入U(xiǎn)SB驅(qū)動(dòng)器(在某些情況下，誘使用戶打開一個(gè)文件)，攻擊者就可以劫持用戶的計(jì)算機(jī)并安裝惡意程序。

微軟公司在過去13個(gè)月中提供了17個(gè)安全更新補(bǔ)丁來修復(fù)DLL加載劫持問題，最近的一次是在本月初。

Chrome瀏覽器的“沙盒”技術(shù)讓瀏覽器與系統(tǒng)其他部分隔離開來，大多數(shù)安全專家認(rèn)為Chrome瀏覽器位居最安全瀏覽器前五名。Chrome瀏覽器的“沙盒”技術(shù)并不能抵御DLL加載劫持攻擊，Acros公司表示。

要利用這個(gè)漏洞的話，Chrome必須被設(shè)置為使用除谷歌以外的搜索引擎，這并不奇怪，谷歌瀏覽器默認(rèn)的搜索引擎為谷歌。Acros公司證實(shí)，當(dāng)用戶將Yahoo或者Bing設(shè)置為瀏覽器首選搜索網(wǎng)站時(shí)，攻擊者就可以成功發(fā)動(dòng)對(duì)Chrome的攻擊。

在攻擊開始前，用戶必須沒有訪問安全網(wǎng)站(即以HTTPS開頭的網(wǎng)址)，Acros補(bǔ)充說，并且在攻擊啟動(dòng)的時(shí)候，用戶還必須被誘使到加載一個(gè)文件，從而在屏幕上有打開的對(duì)話框。

這些先決條件對(duì)于谷歌來說，簡(jiǎn)直太多了。

一名谷歌開發(fā)人員表示，“我們并不認(rèn)為這是一個(gè)安全漏洞，因?yàn)槔眠@個(gè)漏洞的先決條件太多了。”

這名開發(fā)人員還補(bǔ)充道，“這種漏洞利用的發(fā)生幾率很低，所以我們將它當(dāng)作是‘需要加以考慮的奇怪行為’，而不是漏洞。”對(duì)此Acros公司并不完全同意。

“這很難說，”Acros公司在談到先決條件以及攻擊者可能放過這個(gè)成功機(jī)率較高的漏洞的概率時(shí)說道，“作為安全研究人員，任何允許默認(rèn)下載遠(yuǎn)程代碼以及在用戶計(jì)算機(jī)上執(zhí)行而沒有發(fā)出警告的問題，我們都會(huì)認(rèn)定為一個(gè)漏洞。”

Acros公司在對(duì)這個(gè)漏洞的分析報(bào)告中提出了一個(gè)有趣的問題，“多少社會(huì)工程學(xué)算是太多了?”

這樣的爭(zhēng)論并不新鮮：當(dāng)微軟認(rèn)為漏洞利用涉及“用戶交互”(誘使用戶完成一些攻擊者的工作)時(shí)，就會(huì)降低漏洞嚴(yán)重程度。

Acros建議Chrome用戶設(shè)置一個(gè)安全網(wǎng)站作為自己的主頁，例如Gmail，從而阻礙這種攻擊。雖然Acros沒有提及其他方法，但用戶也可以將Google保持作為該瀏覽器的默認(rèn)搜索引擎來抵御這種攻擊。