Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

Разработчики Google продолжают бороться с drive-by загрузками и соответственным вектором атак. Стало известно, что в скором будущем браузер Chrome станет предотвращать автоматические загрузки файлов, инициированные рекламными слотами и происходящие без взаимодействия с пользователем. Разработчики пишут, что рекламным слотам, в сущности, совершенно не необходима данная функциональностью, и новое ограничение позволит сделать веб более безопасным местом.

Согласно классификации самой Google, рекламные слоты или «ad frame» — это iframe, которые Chromium AdTagging определяет как рекламу. То есть любые  iframe, который Google сочтет рекламными.

Нужно отметить, что это уже второй шаг в борьбе с вредоносными drive-by загрузками, который предпринимают инженеры Google. Так, еще в январе текущего года разработчики Chrome анонсировали, что браузер компании будет блокировать автоматические загрузки файлов, инициаторами которых выступают помещенные в песочницу iframe’ы. Данный тип HTML iframe’ов так же используется для показа рекламы, но еще им часто злоупотребляют наборы эксплоитов. Анонсированная функциональность должна появиться уже в  Google Chrome 74, чей релиз запланирован на весну 2019 года.

Пока неясно, когда в Chrome заработает блокировка автоматических загрузок от рекламных слотов, но можно предположить, что это тоже произойдет в текущем году.