网络安全研究人员发现一种能够使 Chrome 和 Firefox 浏览器在移动和桌面设备上崩溃的方法。他们的方法依赖于这些浏览器支持的搜索建议功能。如今大多数浏览器都有一个搜索框或者允许用户通过 URL 地址栏搜索。基于浏览器支持的搜索引擎,通过用户输入的查询能够显示搜索建议。守夜人安全专家表示,如果浏览器的搜索引擎不采用加密的 HTTPS 通道对搜索建议进行加密,那么攻击者便可以在本地网络上拦截搜索建议查询,并在搜索商之前提供搜索答案。
攻击者可以插入大量数据,从而导致浏览器或操作系统耗尽内存资源,最终崩溃。
好消息是研究人员在崩溃中没有执行将导致跟多问题的恶意代码。在他们的试验中,研究人员设法让 Android4.4 上的浏览器,Android 6.01 上的 Chrome 51,Ubuntu 16.04 上的 Firefox 47 崩溃,并且他们使整个 Ubuntu 16.04 OS 在运行 Chrome 51 时崩溃。
用户使用不采用 HTTPS 的浏览器内置搜索就会导致上述的崩溃发生,受影响的浏览器和网站包括用 Firefox 上 eBay,Chrome 上 AOL 和 ASK.COM,Android 浏览器上 Bing 和 Yahoo。而 Internet Explorer、Edge 和 Safari 不受影响。但是 Safari 必须处理今年年初的搜索崩溃问题,所以它并不像你想象的那么好。
Android,Chrome 和 Firefox 团队拒绝将这个 bug 作为一个安全问题来修复,当然实际上它也不是,因此针对该 bug 的修复恐怕会来的更晚一些。