Google云端硬盤(pán)存在一個(gè)漏洞，根據(jù)系統(tǒng)管理員A Nikoci的說(shuō)法，該漏洞可以使黑客欺騙用戶(hù)安裝惡意軟件。Nikoci在接受Hack??er News采訪時(shí)表示，黑客可能會(huì)濫用Google Drive中未修補(bǔ)的安全漏洞來(lái)散布偽裝成合法圖像或文檔的損壞或惡意文件。他說(shuō)，他已使Google意識(shí)到該錯(cuò)誤。

該安全漏洞位于Google云端硬盤(pán)的“管理版本”功能中。管理版本功能允許用戶(hù)上載以及管理文件的不同版本。使用此功能，用戶(hù)可以跟蹤對(duì)其Google云端硬盤(pán)文件所做的任何更改，包括跟蹤誰(shuí)進(jìn)行了這些更改。

可以注意到的更改包括跟蹤何時(shí)有人在Google文檔中進(jìn)行了編輯或注釋?zhuān)孛宋募蛭募A，將新文件上載到文件夾，移動(dòng)或刪除了項(xiàng)目以及何時(shí)有人共享或取消共享文件或夾。

根據(jù)報(bào)告，當(dāng)通過(guò)“管理版本”替換文件時(shí)，Google云端硬盤(pán)不會(huì)檢查文件的類(lèi)型是否相同，甚至不執(zhí)行相同的擴(kuò)展名。Nikoci表示，僅當(dāng)新文件具有相同的擴(kuò)展名時(shí)，該功能才應(yīng)替換舊文件，但事實(shí)并非如此。此外，在文件下載或安裝之前，在線預(yù)覽不會(huì)在替換文件的過(guò)程中警告用戶(hù)或發(fā)出任何警報(bào)。因此，用戶(hù)不知道自己的合法文件已被惡意文件替換，從而造成損壞。即使其他防病毒軟件檢測(cè)到惡意軟件，Google Chrome瀏覽器也會(huì)信任通過(guò)Google云端硬盤(pán)下載的文件。

黑客可以使用此安全漏洞進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊旨在收回用戶(hù)的機(jī)密信息，從而造成用戶(hù)傷害。

Google尚未對(duì)此發(fā)表正式聲明，但根據(jù)IANS的最新報(bào)告，該公司最近已修復(fù)了最新版本的Chrome瀏覽器中的一個(gè)嚴(yán)重漏洞，該漏洞可能導(dǎo)致代碼執(zhí)行。

Google Chrome網(wǎng)絡(luò)瀏覽器的“ WebGL”組件中有一個(gè)“售后使用”漏洞，該漏洞可能允許用戶(hù)在瀏覽器進(jìn)程的上下文中執(zhí)行任意代碼。通過(guò)適當(dāng)?shù)膬?nèi)存布局操作，攻擊者可以完全控制此釋放后使用漏洞，該漏洞最終可能導(dǎo)致在瀏覽器上下文中任意執(zhí)行代碼。

思科Talos的Jon Munshaw表示，安全研究人員與Google進(jìn)行了合作，以確保解決這些問(wèn)題并為受影響的客戶(hù)提供更新。

Munshaw周一對(duì)IANS說(shuō)：“該漏洞專(zhuān)門(mén)存在于ANGLE中，ANGLE是Chrome在Windows系統(tǒng)上使用的OpenGL與Direct3D之間的兼容層，”

黑客可以以某種方式操縱瀏覽器的內(nèi)存布局，從而可以控制自由使用后的利用，最終可能導(dǎo)致任意代碼執(zhí)行。