
我的瀏覽器是Google瀏覽器。當我使用 Chrome 並查看谷歌圖片時,我可以做三件事
- 我可以向下滾動頁面並查看圖像,或者
- 我可以點擊頁面上的圖像,螢幕上會出現一個黑框,圖像本身位於左側,右側顯示圖像來源的網站,並且
- 我有“訪問頁面”和“查看圖像”選項。
我的問題是,執行(1)或(2)會感染病毒嗎?我認為做(1)可能是無害的,但我不確定如果你做(2)你實際上是在訪問該網站還是只是放大圖像。
基本上我擔心谷歌圖像上的惡意軟體。
答案1
是否可以?是的。有可能嗎?不。
搜尋結果中顯示的圖像縮圖(您稱之為“1”)直接從頁面提供:嵌入data:
URL。任何非 Google 伺服器均不提供任何內容。
影像預覽出現在與搜尋結果內嵌的黑色邊框內,並在您按一下縮圖(您稱為「2」)時顯示,直接從託管該影像的網站嵌入影像。
常見影像格式存在安全漏洞,可能導致緩衝區溢位和遠端程式碼執行。實際上,這種情況非常罕見,谷歌很可能會將其檢測為惡意軟體,並且不會在搜尋結果中顯示這些圖像。但是,如果存在 0day 圖像格式漏洞,並且您碰巧在搜尋結果中單擊了受感染的圖像,則僅使用內聯預覽就足以導致您的電腦受到威脅。
答案2
是的,當然可以。
作為如何透過 JPEG 標頭將資訊傳輸到瀏覽器的概念證明,我可以創建一個產品圖像,其中包含與我的網站的連結。受保護的瀏覽器不會顯示該內容,但不受保護的解釋器會顯示(如其他一些瀏覽器或 wordpress 等)。如果您需要,我可以上傳概念驗證文件。
由於即使 JPEG 標頭也可以將訊息傳遞到頁面/瀏覽器,並且具有實際效果(正在解釋/處理/顯示),這意味著熟練的人可以傳遞很多有風險的事情。