Google Chrome dwingt download van f.txt -bestand af

Na het updaten naar Chrome 40.0.2214.111, variabel wanneer ik bepaalde Google-gerelateerde sites bezoek (zoals http://youtube.comen krijg een advertentie voor de video), downloadt de browser een bestand met de naam f.txt.

Ik heb geen adblock-plug-ins geïnstalleerd.

f.txtbevat een paar regels JavaScript…beginnend met:

if (!window.mraid) {document.write('\x3cdiv class="GoogleActiveViewClass" ' +'id="DfaVisibilityIdentifier_3851468350"\x3e');}document.write('\x3ca target\x3d\x22_blank\x22 href\x3d\x22https://adclick.g.doubleclick.net/pcs/click?xai\x3dAKAOjsvDhmmoi2r124JkMyiBGALWfUlTX-zFA1gEdFeZDgdS3JKiEDPl3iIYGtj9Tv2yTJtASqD6S-yqbuNQH5u6fXm4rThyCZ0plv9SXM-UPKJgH4KSS08c97Eim4i45ewgN9OoG3E_ 

Bij het opzoeken van het probleem op Google hebben anderen hetzelfde ervaren, maar ik heb geen oplossing gevonden of begrepen waarom dit gebeurt. Ik neem aan dat het een content-disposition-gerelateerde bug is met een aantal van de JS-bestanden die op de pagina zijn geladen, en dit zal in een toekomstige patch worden opgelost.

Vraag me af of iemand anders ervaring/inzicht heeft gehad.

Antwoord 1, autoriteit 100%

Dit probleem lijkt voortdurende consternatie te veroorzaken, dus ik zal proberen een duidelijker antwoord te geven dan de eerder geposte antwoorden, die slechts gedeeltelijke hints bevatten over wat er aan de hand is.

• Ergens in de zomer van 2014 ontwikkelde IT-beveiligingsingenieur Michele Spagnuolo(blijkbaar werkzaam bij Google Zürich) een proof-of-concept exploit en ondersteunende tool genaamd Rosetta Flashdie een manier voor hackers demonstreerde om kwaadaardige Flash SWF-bestanden vanaf een extern domein uit te voeren op een manier die browsers laat denken dat het afkomstig was van hetzelfde domein als de gebruiker op dat moment aan het browsen was. Hierdoor kan het “same-origin-beleid” worden omzeild en kunnen hackers verschillende exploits krijgen. Je kunt de details hier lezen: https://miki.it/blog/ 2014/7/8/misbruik-jsonp-with-rosetta-flash/
  • Bekende getroffen browsers: Chrome, IE
  • Mogelijk onaangetaste browsers: Firefox
• Adobe heeft het afgelopen jaar ten minste 5 verschillende fixes uitgebracht terwijl het probeerde deze kwetsbaarheid volledig te verhelpen, maar verschillende grote websites hebben eerder ook hun eigen fixes geïntroduceerd om massale kwetsbaarheid voor hun gebruikersbases te voorkomen. Onder de sites om dit te doen: Google, Youtube, Facebook, Github en anderen. Een onderdeel van de ad-hocbeperking die door deze website-eigenaren werd geïmplementeerd, was het forceren van de HTTP-header Content-Disposition: attachment; filename=f.txtop de resultaten van JSONP-eindpunten. Dit heeft de ergernis dat de browser automatisch een bestand met de naam f.txtdownloadt waar je niet om hebt gevraagd, maar het is veel beter dan dat je browser automatisch een mogelijk kwaadaardig Flash-bestand uitvoert.
• Concluderend, de websites die u bezocht toen dit bestand spontaan werd gedownload, zijn niet slecht of kwaadaardig, maar sommige domeinen die inhoud op hun pagina’s weergeven (meestal advertenties) bevatten inhoud met deze exploit. Houd er rekening mee dat dit probleem willekeurig en met tussenpozen van aard zal zijn, omdat zelfs het achtereenvolgens bezoeken van dezelfde pagina’s vaak verschillende advertentie-inhoud oplevert. Het advertentiedomein ad.doubleclick.netgeeft bijvoorbeeld waarschijnlijk honderdduizenden verschillende advertenties weer en slechts een klein percentage bevat waarschijnlijk schadelijke inhoud. Dit is de reden waarom verschillende gebruikers online in de war zijn omdat ze denken dat ze het probleem hebben opgelost of het op de een of andere manier hebben beïnvloed door dit programma te verwijderen of die scan uit te voeren, terwijl het in feite allemaal niets met elkaar te maken heeft. De f.txt-download betekent alleen dat je bent beschermd tegen een recente potentiële aanval met deze exploit en je zou geen reden moeten hebben om aan te nemen dat je op enigerlei wijze bent gecompromitteerd.
• De enige manier waarop ik weet dat je kunt voorkomen dat dit f.txt-bestand in de toekomst opnieuw wordt gedownload, is door de meest voorkomende domeinen te blokkeren die deze exploit lijken te ondersteunen. Ik heb hieronder een korte lijst gemaakt van enkele van degenen die in verschillende berichten zijn betrokken. Als u wilt voorkomen dat deze domeinen uw computer aanraken, kunt u ze toevoegen aan uw firewall of u kunt de HOSTS-bestandstechniek gebruiken die wordt beschreven in het tweede gedeelte van deze link: http://www.chromefans.org/chrome-tutorial/how-to- block-a-website-in-google-chrome.htm
• Korte lijst van domeinen die je zou kunnen blokkeren (geenszins een uitgebreide lijst). De meeste hiervan zijn sterk geassocieerd met adware en malware:
  • ad.doubleclick.net
  • adclick.g.doubleclick.net
  • secure-us.imrworldwide.com
  • d.turn.com
  • ad.turn.com
  • secure.insightexpressai.com
  • core.insightexpressai.com

Antwoord 2, autoriteit 11%

Ik heb hetzelfde probleem ondervonden, dezelfde versie van Chrome, hoewel het niets met het probleem te maken heeft. Met de ontwikkelaarsconsole heb ik een exemplaar vastgelegd van het verzoek dat dit heeft voortgebracht, en het is een API-aanroep die wordt bediend door ad.doubleclick.net. In het bijzonder retourneert deze bron een antwoord met Content-Disposition: attachment; filename="f.txt".

De URL die ik toevallig heb vastgelegd was https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300×60…

Per krul:

$ curl -I 'https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300x60;click=https://2975c.v.fwmrm.net/ad/l/1?s=b035&n=10613%3B40185%3B375600%3B383270&t=1424475157058697012&f=&r=40185&adid=9201685&reid=3674011&arid=0&auid=&cn=defaultClick&et=c&_cc=&tpos=&sr=0&cr=;ord=435266097?'
HTTP/1.1 200 OK
P3P: policyref="https://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml", CP="CURa ADMa DEVa TAIo PSAo PSDo OUR IND UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Date: Fri, 20 Feb 2015 23:35:38 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/javascript; charset=ISO-8859-1
X-Content-Type-Options: nosniff
Content-Disposition: attachment; filename="f.txt"
Server: cafe
X-XSS-Protection: 1; mode=block
Set-Cookie: test_cookie=CheckForPermission; expires=Fri, 20-Feb-2015 23:50:38 GMT; path=/; domain=.doubleclick.net
Alternate-Protocol: 443:quic,p=0.08
Transfer-Encoding: chunked
Accept-Ranges: none
Vary: Accept-Encoding

Antwoord 3, autoriteit 5%

Ter info, na het lezen van deze thread, heb ik mijn geïnstalleerde programma’s bekeken en ontdekte dat op de een of andere manier, kort na het upgraden naar Windows 10 (mogelijk/waarschijnlijk niet gerelateerd), een ASK-zoekapp was geïnstalleerd, evenals een Chrome-extensie ( Windows was zo vriendelijk om u eraan te herinneren dat te controleren). Sinds het verwijderen heb ik het f.txt-probleem niet meer.

Antwoord 4

Dit kan ook op Android voorkomen, niet alleen op computers. Was aan het browsen met Kiwi toen de site waarop ik me bevond eindeloos begon te verwijzen, dus ik verbrak de internettoegang om het te sluiten en merkte op dat mijn telefoon iets f.txtin mijn gedownloade bestanden had geplaatst.

Verwijderd en niet geopend.

Antwoord 5

Lijkt gerelateerd aan https://groups.google .com/forum/#!msg/google-caja-discuss/ite6K5c8mqs/Ayqw72XJ9G8J.

De zogenaamde “Rosetta Flash”-kwetsbaarheid is dat het toestaan ​​van willekeurige
maar identifier-achtige tekst aan het begin van een JSONP-antwoord is
voldoende om het te interpreteren als een Flash-bestand dat daarin wordt uitgevoerd
oorsprong. Zie voor meer informatie:
http://miki.it/blog/2014/ 7/8/misbruiken-jsonp-met-rosetta-flash/

JSONP-reacties van de proxyservlet nu:
* worden voorafgegaan door “/**/”, waardoor ze nog steeds kunnen worden uitgevoerd als JSONP
maar verwijdert de controle van de aanvrager over de eerste bytes van het antwoord.
* hebben de antwoordheader Content-Disposition: bijlage.