谷歌浏览器最新版突然将防范下载炸弹的安全策略删除
去年冬天开始有诈骗团伙利用下载炸弹阻塞用户浏览器,阻塞浏览器后再诱导用户致电所谓的技术支持热线。
下载炸弹技术即通过脚本瞬间启动数千个下载线程让浏览器卡死,这时候还会消耗大量的处理器和内存资源。
用户无论是点击页面提示还是试图关闭浏览器都无济于事,最终有部分受害者会被诱导致电诈骗团伙的电话。
谷歌浏览器移除此前修复此问题的函数:
谷歌浏览器自65版开始已经调整函数禁止这种脚本运行,然而在谷歌浏览器最新版中下载炸弹技术死灰复燃。
有研究人员在使用谷歌浏览器浏览网页时无意中被重定向至诈骗网站,该诈骗网站使用的就是下载炸弹技术。
多数浏览器仍受下载炸弹影响:
除谷歌浏览器外诸如火狐浏览器以及维瓦尔第浏览器等均受影响,而微软公司家的IE和Edge浏览器这次例外。
对于用户们来说如果遇到下载炸弹最简单的办法: 直接通过任务管理器将浏览器的所有进程全部结束掉即可。
当然这个时候重启电脑或者按电源键强制关机再开机也可以解决, 只要启动后不要再打开下载炸弹网页就行。
尚不清楚谷歌浏览器将此防御策略移除的原因是什么, 不过按理说后续版本更新时谷歌应该会注意这个问题。
有兴趣的网友可以试试我们制作的下载炸弹测试页面:浏览器恶意脚本之下载炸弹概念验证代码(PoC)测试页