近日，AVG中國病毒實(shí)驗(yàn)室監(jiān)測到Chrome最新標(biāo)簽漏洞被黑客利用。其危害不僅僅是導(dǎo)致瀏覽器崩潰等現(xiàn)象，更會(huì)強(qiáng)制用戶點(diǎn)擊黑客的目標(biāo)頁面，而這些頁面很有可能已經(jīng)被黑客掛馬，用戶一旦進(jìn)入就可能感染木馬。

下面是此次漏洞被利用的詳情：

chrome的標(biāo)簽修正特性漏洞：

<script><!--

var x = "pwned</script x\><script x\>alert(1);//";

//--></script>

該漏洞是由于之前Chrome對 xss filter的標(biāo)簽修正不完善而留下的。chrome動(dòng)態(tài)修正了這個(gè)HTML文檔的3處節(jié)點(diǎn)：

1. </script x\> 修正為 </script>

2. 閉合了<script x\>

3. 閉合多出的</script>

Chrome的標(biāo)簽修正特性只是按標(biāo)簽配對來修正的，沒有考慮HTML注釋等情況，因此導(dǎo)致該漏洞的產(chǎn)生。

盡管由于空間限制，該漏洞無法被直接用來運(yùn)行shellcode、crash或者download，但仍可被黑客用作"跳板"來訪問其他站點(diǎn)。

1.頁面跳轉(zhuǎn)

代碼稍作修改就能實(shí)現(xiàn)頁面的跳轉(zhuǎn)：

結(jié)合Clickjacking，將使得跳轉(zhuǎn)變得更加隱蔽。

2.虛假信息、廣告

彈出中獎(jiǎng)等信息，誘使瀏覽者訪問。假冒的微博、QQ等熱門網(wǎng)站都可能成為黑客的目標(biāo)。

除此之外，結(jié)合javascript的其他功能，該漏洞還會(huì)導(dǎo)致更嚴(yán)重的后果。諸如使瀏覽器崩潰。

同時(shí)，經(jīng)過AVG中國實(shí)驗(yàn)室的監(jiān)測，該漏洞同樣適用于Firefox 7.0.1，建議廣大的火狐用戶及時(shí)升級您的殺毒軟件和瀏覽器。

而Chrome用戶，則可以直接到Chrome Web Store（http://chrome.google.com/webstore）添加AVG Site Safety至"我的Chrome"或者直接訪問下面這個(gè)網(wǎng)址進(jìn)行快速的安裝https://chrome.google.com/webstore/detail/ncnjjicckpooflgclhneahpkahcpoama即可。

AVG Site Safety是專門為谷歌的Chrome瀏覽器所設(shè)計(jì)的。通過安裝Site Safety，Chrome用戶可以實(shí)時(shí)的對網(wǎng)站進(jìn)行安全檢查，甄別存在風(fēng)險(xiǎn)的網(wǎng)站。更突出的是，Site Safety能夠?yàn)橛脩籼峁┮环N"打分"機(jī)制，無論用戶訪問何種網(wǎng)站，均可以對網(wǎng)站進(jìn)行評分，之后的訪問用戶則可以隨時(shí)觀看這種打分情況。通過"喜歡"與"不喜歡"，用戶可以快速甄別網(wǎng)站是否含有瀏覽價(jià)值或者是否含有危險(xiǎn)鏈接等。與打分相匹配的，用戶也可以提交評論，作為對打分的一種補(bǔ)充。通過用戶貢獻(xiàn)的這種喜好輿論，AVG能夠?yàn)橛脩魩砀?、更及時(shí)、更準(zhǔn)確的安全體驗(yàn)。

AVG始終堅(jiān)持"我們努力工作，讓您盡情享受"，網(wǎng)上娛樂和工作在安全的前提下進(jìn)行才最重要。