Можно ли подхватить вирус, просматривая изображения Google?

tag-icon tag-icon google-chrome images virus malware
Можно ли подхватить вирус, просматривая изображения Google?

Мой браузер — Google Chrome. Когда я использую Chrome и просматриваю изображения Google, я могу сделать три вещи

  1. Я могу прокрутить страницу вниз и посмотреть изображения, или
  2. Я могу нажать на изображение на странице, и на моем экране появится черное поле с самим изображением слева, а справа будет отображаться веб-сайт, откуда взято изображение, а также
  3. Мне предоставлены опции «Посетить страницу» и «Просмотреть изображение».

Мой вопрос: можно ли заразиться вирусом, делая (1) или (2)? Я думаю, что, вероятно, выполнение (1) безвредно, но я не уверен, если вы делаете (2), вы действительно посещаете сайт или просто увеличиваете изображение.

В основном меня беспокоит вредоносное ПО на изображениях Google.

решение1

Возможно ли это? Да. Вероятно ли это? Нет.

Миниатюры изображений, отображаемые в результатах поиска (которые вы называете «1»), подаются непосредственно со страницы каквстроенные data:URL-адресаНикакой контент не предоставляется с серверов, не принадлежащих Google.

миниатюры поиска изображений google

Предварительный просмотр изображений, которые появляются внутри черной рамки вместе с результатами поиска и отображаются при нажатии на миниатюру (которую вы называете «2»), встраивает изображение непосредственно с веб-сайта, на котором оно размещено.

встроенный предварительный просмотр поиска изображений Google

В распространенных форматах изображений существуют уязвимости безопасности, которые могут привести к переполнению буфера и удаленному выполнению кода. На практике это встречается очень редко, и вполне вероятно, что Google обнаружит это как вредоносное ПО и не будет показывать эти изображения в результатах поиска. Однако, если бы существовала уязвимость формата изображения 0-day и вы случайно нажали на зараженное изображение в результатах поиска, простого использования встроенного предварительного просмотра могло бы быть достаточно, чтобы ваш компьютер был скомпрометирован.

решение2

Да, конечно, можете.

В качестве доказательства концепции того, как передавать информацию в браузер через заголовки JPEG, я могу, например, создать изображение продукта, в которое включена ссылка на мой веб-сайт. Защищенные браузеры не будут отображать это, но незащищенные интерпретаторы будут (например, некоторые другие браузеры или такие вещи, как WordPress). Я могу загрузить файлы доказательства концепции, если вам нужно.

Поскольку даже заголовок JPEG может передавать информацию на страницу/браузер, и это имеет практический эффект (он интерпретируется/обрабатывается/отображается), это означает, что опытный пользователь может передавать много рискованных вещей.

Связанный контент