Уязвимость Download Bomb опять актуальна для Chrome, FireFox и Opera

Олег Иванов 04 Июля 2018 - 08:55

Домашние пользователи

...

Ошибка, известная как «download bomb», вновь появилась в недавно выпущенной версии популярного браузера Chrome 67. Этот баг активно эксплуатировался злоумышленниками прошлой зимой. Предполагалось, что «download bomb» была устранена с выпуском Chrome 65 в марте 2018 года.

Эксперты заявляют, что этот же недостаток влияет и на другие браузеры, среди которых: Firefox, Vilvadi, Opera и Brave.

«Download bomb» представляет собой вредоносный метод, позволяющий злоумышленникам инициировать сотни тысяч загрузок, что непременно приведет к зависанию браузера на определенной веб-странице.

За последние годы киберпреступники находили несколько применений такому методу. Например, их использовали мошенники, маскирующиеся под техническую поддержку, которые пытались заманить пользователей на вредоносный сайт и заставить их позвонить в службу поддержки для разблокировки браузера.

Зимой исследователи сообщили о новой кампании, в процессе которой фигурировал «download bomb». В этом случае злоумышленники использовали метод JavaScript Blob и функцию window.navigator.msSaveOrOpenBlob, чтобы инициировать тысячи загрузок подряд.

Это приводило к неработоспособности браузера Chrome. На скриншоте ниже можно посмотреть результат работы этого метода:

Казалось бы, разработчики Google устранили эту проблему с выходом Chrome 65.0.3325.70, однако она вернулась в версии Chrome 67.0.3396.87, релиз которой состоялся 12 июня.

Более того, другие популярные браузера также в опасности. Протестировав PoC-код на других браузерах, эксперты пришли к следующим выводам:

«Firefox также уязвим для этого метода. Brave и Vivaldi перестают отвечать при использовании кода proof-of-concept. Opera зависла на какое-то время, но все же позволила закрыть проблемную вкладку».

«Браузеры Microsoft Edge и Internet Explorer не затронуты данной проблемой», — подчеркнули исследователи.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 30 Декабря 2025 - 10:02

Мошенничество Домашние пользователи

Телефонные мошенники начали применять новую многоступенчатую схему

Злоумышленники начали использовать новую трёхэтапную схему обмана, в которой поочерёдно представляются полицейским и опасным преступником. Схема уже привела к реальным жертвам: с её помощью мошенники похитили у пожилой жительницы Москвы более 20 млн рублей.

О новом способе мошенничества сообщил ТАСС со ссылкой на пресс-службу прокуратуры Москвы. Как уточнили в ведомстве, в случае с пенсионеркой аферисты применили трёхступенчатую модель обмана.

На первом этапе женщине позвонил человек, представившийся сотрудником полиции. Он сообщил об убийстве другой пожилой женщины, якобы проживавшей по соседству, и оставил номер телефона для связи — «на случай подозрительных звонков».

В отличие от традиционных схем, используемых с 2021 года, где лжеправоохранители подключаются на более поздних этапах, здесь «полицейский» появляется уже в самом начале, чтобы заранее завоевать доверие жертвы.

На следующий день пенсионерке позвонил уже якобы сам преступник. В грубой форме он потребовал передать 500 тыс. рублей. Женщина, следуя ранее полученным инструкциям, сразу же перезвонила по «служебному» номеру и рассказала о произошедшем.

На завершающем этапе лжеполицейский предложил пенсионерке «помочь следствию» и принять участие в операции по поимке преступника — якобы для его задержания при передаче денег.

«Пострадавшая начала выполнять все указания звонившего и передала 500 тыс. рублей курьеру. Затем аферисты сообщили пенсионерке, что операция пошла не по плану, а её паспортные данные стали известны третьим лицам, которые пытаются похитить сбережения. Испугавшись, женщина продолжила общение с мошенниками, в том числе по видеосвязи. По их указаниям она несколько раз снимала со счетов семейные накопления и передавала их курьерам, полагая, что это инкассаторы. Общий ущерб превысил 20 млн рублей», — рассказали в прокуратуре.

В надзорном ведомстве напомнили, что никакие следственные действия и оперативно-разыскные мероприятия по телефону не проводятся, а сотрудники правоохранительных органов не привлекают граждан к содействию дистанционно. Граждан призвали не выполнять указания неизвестных лиц, кем бы они ни представлялись.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »