9月5消息,谷歌新的chrome浏览器有许多与安全有关的新功能:
·防御恶意软件和钓鱼攻击的网站黑名单
·隐私浏览模式(Incognito),可消除用户活动的痕迹
·全面的消除浏览数据对话框
但是,chrome浏览器中真正创新的功能是谷歌建在这个浏览器中的在一个沙箱中运行的渲染引擎。每一个浏览器的标签都是一个以有限的功能运行的一个独立的处理过程。这就意味着如果一个恶意应用程序要运行,它不会破坏、干扰或者阻止在其它标签上运行的其它应用程序。它还意味着这个应用程序不能做事情,如向文件系统写入数据。向文件系统写入数据能够让恶意程序存在下去。
这是一个很好的目标。但是,遗憾的是这个沙箱已经存在一个漏洞。例如,有人已经演示了chrome浏览器存在与苹果Safari浏览器“地毯式轰炸”安全漏洞相同的漏洞。这种新版本的攻击是把文件投放到chrome的下载文件夹中,必须要采用社会工程学的方法才能劝说用户运行这些文件。这种攻击也许可行,也许不可行。但是,这个沙箱确实是失败了。
为什么会失败?因为chrome浏览器是在包括苹果的WebKit在内的其它平台的源代码的基础之上制作的。谷歌使用的是在修复“地毯式轰炸”安全漏洞之前的那个版本的WebKit软件。一些开源软件项目就是这样。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
黑客发现,跨站脚本仍是最大漏洞
据HackerOne称,跨站脚本(XSS)漏洞仍然是最常被利用的漏洞。Hackerone是旨在联系企业和白帽黑 […]
-
如何检测出定制服务器中预装的恶意软件?
定制服务器意味着企业需要对更多硬件安全承担责任,并更多地依靠定制制造商,而不是传统服务器供应商……
-
被忽视的Web安全漏洞:如何识别和解决?
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
-
泰雷兹威胁报告:安全支出上升,敏感数据仍易受攻击
日前,泰雷兹与分析机构451 Research联合发布《2017泰雷兹数据威胁报告》。其中,68%的受访者表示遭遇过安全漏洞,26%的受访者表示在去年遭遇过安全漏洞——两项数据同比均有所上升……