Google云端硬盤漏洞可能使黑客欺騙用戶下載惡意軟件

Google云端硬盤存在一個漏洞，根據系統管理員A Nikoci的說法，該漏洞可以使黑客欺騙用戶安裝惡意軟件。Nikoci在接受Hack??er News采訪時表示，黑客可能會濫用Google Drive中未修補的安全漏洞來散布偽裝成合法圖像或文檔的損壞或惡意文件。他說，他已使Google意識到該錯誤。

該安全漏洞位于Google云端硬盤的“管理版本”功能中。管理版本功能允許用戶上載以及管理文件的不同版本。使用此功能，用戶可以跟蹤對其Google云端硬盤文件所做的任何更改，包括跟蹤誰進行了這些更改。

可以注意到的更改包括跟蹤何時有人在Google文檔中進行了編輯或注釋，重命名了文件或文件夾，將新文件上載到文件夾，移動或刪除了項目以及何時有人共享或取消共享文件或夾。

根據報告，當通過“管理版本”替換文件時，Google云端硬盤不會檢查文件的類型是否相同，甚至不執行相同的擴展名。Nikoci表示，僅當新文件具有相同的擴展名時，該功能才應替換舊文件，但事實并非如此。此外，在文件下載或安裝之前，在線預覽不會在替換文件的過程中警告用戶或發出任何警報。因此，用戶不知道自己的合法文件已被惡意文件替換，從而造成損壞。即使其他防病毒軟件檢測到惡意軟件，Google Chrome瀏覽器也會信任通過Google云端硬盤下載的文件。

黑客可以使用此安全漏洞進行魚叉式網絡釣魚攻擊。魚叉式網絡釣魚攻擊旨在收回用戶的機密信息，從而造成用戶傷害。

Google尚未對此發表正式聲明，但根據IANS的最新報告，該公司最近已修復了最新版本的Chrome瀏覽器中的一個嚴重漏洞，該漏洞可能導致代碼執行。

Google Chrome網絡瀏覽器的“ WebGL”組件中有一個“售后使用”漏洞，該漏洞可能允許用戶在瀏覽器進程的上下文中執行任意代碼。通過適當的內存布局操作，攻擊者可以完全控制此釋放后使用漏洞，該漏洞最終可能導致在瀏覽器上下文中任意執行代碼。

思科Talos的Jon Munshaw表示，安全研究人員與Google進行了合作，以確保解決這些問題并為受影響的客戶提供更新。

Munshaw周一對IANS說：“該漏洞專門存在于ANGLE中，ANGLE是Chrome在Windows系統上使用的OpenGL與Direct3D之間的兼容層，”

黑客可以以某種方式操縱瀏覽器的內存布局，從而可以控制自由使用后的利用，最終可能導致任意代碼執行。