Google Chrome的一个错误让网站可以无提示地覆盖系统剪贴板内容

Google Chrome web浏览器以及基于Chrome的替代方案中的一个“主要”安全问题可能会允许恶意网页自动覆盖剪贴板内容，而无需用户同意或通过简单访问进行交互。

据开发者杰夫·约翰逊（Jeff Johnson）称，剪贴板中毒攻击据说是在Chrome版本104中意外引入的。

虽然苹果Safari和Mozilla Firefox中也存在这个问题，但Chrome中的问题更为严重的是，用户将内容复制到剪贴板的手势要求目前已被打破。

用户手势包括选择一段文本并按下Control+C（对于macOS为⌘；-C）或从上下文菜单中选择“复制”。

“因此，像点击链接或按下箭头键向下滚动页面这样无辜的手势会让网站允许覆盖系统剪贴板，”约翰逊指出。

替换剪贴板数据的能力会带来安全问题。在假设的攻击场景中，对手可能诱使受害者访问流氓登录页面，并将目标之前复制的加密货币钱包的地址改写为其控制的地址，从而导致未经授权的资金转移。

或者，威胁行为人可以用一个精心制作的网站链接覆盖剪贴板，导致受害者下载危险软件。

“当你浏览网页时，该页面可以在你不知情的情况下删除系统剪贴板中的当前内容，这些内容可能对你很有价值，并用页面想要的任何内容替换它们，这可能会在你下次粘贴时对你造成危险，”约翰逊解释道。

谷歌已经意识到了这个问题，鉴于该漏洞的严重性和恶意行为人滥用的可能性，预计很快就会发布补丁。

在此期间，建议用户不要在任何剪切/复制和粘贴操作之间打开网页，并在网上执行敏感操作（如金融交易）之前验证其剪贴板。

谷歌发布了适用于Windows、macOS和Linux的新版本Chrome（105.0.5195.52/53/54），修复了24个缺陷，其中10个缺陷与网络服务、WebSQL、WebSQL和PhoneHub等中的免费错误有关。