我的浏览器是 Google Chrome。当我使用 Chrome 查看 Google 图片时,我可以做三件事
- 我可以向下滚动页面并查看图片,或者
- 我可以点击页面上的一张图片,屏幕上会出现一个黑框,左边是图片本身,右边是图片来源的网站,还有
- 我得到了“访问页面”和“查看图像”选项。
我的问题是,做 (1) 或 (2) 会感染病毒吗?我认为做 (1) 可能无害,但我不确定做 (2) 时您是真的访问了网站还是只是放大了图片。
基本上,我担心 Google 图片上的恶意软件。
答案1
有可能吗?是的。有可能吗?没有。
搜索结果中显示的图像缩略图(您称之为“1”)直接从页面提供,如下所示嵌入的data:URL. 不从任何非 Google 服务器提供任何内容。
图像预览会出现在搜索结果的黑色边框内,当您单击缩略图(您称之为“2”)时会显示该预览,它会直接从托管该图像的网站嵌入该图像。
常见图片格式中存在安全漏洞,可能导致缓冲区溢出和远程代码执行。实际上,这种情况非常罕见,Google 很可能会将其检测为恶意软件,并且不会在搜索结果中显示这些图片。但是,如果存在零日图片格式漏洞,而您恰好点击了搜索结果中的受感染图片,那么仅使用内联预览就足以导致您的计算机受到攻击。
答案2
是的,你当然可以。
作为如何通过 JPEG 标头将信息传输到浏览器的概念证明,我可以创建一个产品图像,其中包含指向我网站的链接。受保护的浏览器不会显示该图像,但不受保护的解释器会显示该图像(例如其他一些浏览器或 wordpress 之类的东西)。如果您需要,我可以上传概念证明文件。
由于即使 JPEG 标头也可以将信息传递到页面/浏览器,并且具有实际效果(正在被解释/处理/显示),这意味着熟练的人可以传递很多危险的东西。