Релиз Chrome 67 вернул возможность использования «загрузочных бомб»

[душман]

В обновлении Google Chrome 67 вернулась техническая ошибка, которая предоставляла мошенникам возможность запугивать пользователей с помощью так называемых «загрузочных бомб» (download bomb). Данный метод атаки позволяет запустить сотни или тысячи загрузок, которые блокируют браузер на определенной на web-странице.

За последние несколько лет появилось несколько вариаций атаки. В основном такая тактика использовалась организаторами мошеннических схем по предоставлению «услуг» техподдержки, вынуждавших пользователей, «застрявших» на подозрительном сайте, обращаться по указанному номеру для разблокировки браузера. Минувшей зимой на проблему обратили внимание эксперты компании Malwarebytes и уведомили о ней Google. Инженеры компании исправили ошибку в версии Chrome 65.0.3325.70, но, как оказалось, она вновь вернулась в выпуске 67.0.3396.87, представленном в мае 2018 года.

Более того, по словам исследователя Malwarebytes Жерома Сегуры, проблема распространяется и на другие браузеры, в том числе Firefox.

Журналисты ресурса BleepingComputer провели собственный эксперимент, в котором протестировали PoC-коды для Chrome и Firefox против ряда браузеров. Как оказалось, «загрузочные бомбы» заставляют зависнуть Brave и Vivaldi, браузер Opera «подвис» на короткий промежуток времени, но затем позволил переключиться на другую вкладку. Отмечается, что закрывать браузер пришлось через Диспетчер задач Windows, поскольку загрузки продолжались в фоновом режиме. Microsoft Edge и Internet Explorer оказались неузвимыми к данным атакам.