[:pb]O lançamento do Google Chrome 67 em junho deixou o navegador novamente vulnerável ao exploit Download Bomb. O problema havia havia sido corrigido na versão 65 em março deste ano.
Além dele, outros navegadores como o Firefox, Vilvadi, Opera e Brave são vulneráveis.
Exploit Download Bomb
O exploit Download Bomb basicamente é uma técnica que inicia centenas ou milhares de downloads para travar o navegador em uma página específica.
Criminosos que aplicam golpes se passando por serviços de suporte costumam usar esta técnica.
No início deste ano, por exemplo, pesquisadores da Malwarebytes descobriram que criminosos estavam usando o exploit Download Bomb para travar o navegador em sites maliciosos.
A técnica empregada por eles utilizava o método JavaScript Blob e a função window.navigator.msSaveOrOpenBlob para iniciar milhares de downloads um após o outro e assim travar o Google Chrome no site dos criminosos:
Os desenvolvedores do Google Chrome foram notificados e implementaram uma correção no Google Chrome 65.0.3325.70. O problema é que a versão 67.0.3396.87 lançada em junho tornou o navegador novamente vulnerável ao exploit.
Em testes usando o código prova-de-conceito para o Google Chrome e o Firefox, o site Bleeping Cmputer descobriu que os navegadores Vivaldi e Brave também são vulneráveis.
O navegador Opera travou por um curto período, mas eventualmente permitiu o acesso a outras guias e foi necessário usar o Gerenciador de Tarefas do Windows para encerrar o navegador.
Os testes feitos também mostraram que as versões mais recentes do Microsoft Edge e do Internet Explorer são imunes ao exploit.
via Baboo[:]