消息來(lái)源：cnBeta.COM

開發(fā)人員 指出，Google 在 舊版的Chrome ?中意外發(fā)現(xiàn)了一個(gè) bug 。導(dǎo)致網(wǎng)站無(wú)需獲準(zhǔn)用戶許可、即可將相關(guān)內(nèi)容寫入系統(tǒng)剪貼板。雖然 Safari 和 Firefox 也有類似的功能，但至少 Apple 和 Mozilla 有設(shè)置相應(yīng)的防護(hù)措施。

據(jù)悉，剪貼板是操作系統(tǒng)上的一個(gè)臨時(shí)存儲(chǔ)空間。但由于常用于復(fù)制 / 粘貼的中轉(zhuǎn)站，剪貼板很可能涉及關(guān)鍵字的賬號(hào)、錢包字符串、以及密碼等敏感信息。

當(dāng)用戶選擇從網(wǎng)頁(yè)上復(fù)制一段文本時(shí)，某些網(wǎng)站可能會(huì)加上額外的內(nèi)容 —— 比如當(dāng)前頁(yè)面的網(wǎng)址（URL）—— 而沒有任何可見的指示或交互。

若被任意內(nèi)容覆蓋這個(gè)臨時(shí)存儲(chǔ)空間，用戶將面臨較高的風(fēng)險(xiǎn)，導(dǎo)致其成為潛在惡意活動(dòng)的受害者。

Jeff Johnson 在博客文章中強(qiáng)調(diào) —— 所有支持剪貼板寫入的 Web 瀏覽器，都具有較差且不充分的防護(hù)措施。

舉個(gè)例子，攻擊者可能引誘用戶訪問網(wǎng)站。當(dāng)用戶嘗試付款、并將錢包地址復(fù)制到剪貼板時(shí)，該 bug 或導(dǎo)致相關(guān)信息被篡改。

（via?BleepingComputer）

雖然許多剪貼板 API 交互都是通過 Ctrl+C 這樣的快捷鍵實(shí)現(xiàn)的，但在許多情況下，網(wǎng)站交互可以做到更加神不知鬼不覺。

Johnson 的測(cè)試表明，即使按了向下 ↓ 箭頭、或使用鼠標(biāo)滾輪在網(wǎng)站上導(dǎo)航，都可被授予當(dāng)前加載頁(yè)面的剪貼板寫入權(quán)限。

要確定該問題是否影響您的 Web 瀏覽器，可移步至 webplatform.news 示例站點(diǎn)，看相關(guān)操作是否會(huì)將內(nèi)容注入到用戶系統(tǒng)的剪貼板里、然后嘗試將內(nèi)容‘粘貼’到?Windows?記事本。

目前 Chrome 開發(fā)團(tuán)隊(duì)已經(jīng)意識(shí)到了這個(gè)問題，但尚未立即修復(fù)。慶幸的是，它對(duì)當(dāng)前版本的移動(dòng) / 桌面版 Chrome 瀏覽器的影響并不大。