近日，AVG中國病毒實驗室監測到Chrome最新標簽漏洞被黑客利用。其危害不僅僅是導致瀏覽器崩潰等現象，更會強制用戶點擊黑客的目標頁面，而這些頁面很有可能已經被黑客掛馬，用戶一旦進入就可能感染木馬。

下面是此次漏洞被利用的詳情：

chrome的標簽修正特性漏洞：

<script><!--

var x = "pwned</script x\><script x\>alert(1);//";

//--></script>

該漏洞是由于之前Chrome對 xss filter的標簽修正不完善而留下的。chrome動態修正了這個HTML文檔的3處節點：

1. </script x\> 修正為 </script>

2. 閉合了<script x\>

3. 閉合多出的</script>

Chrome的標簽修正特性只是按標簽配對來修正的，沒有考慮HTML注釋等情況，因此導致該漏洞的產生。

盡管由于空間限制，該漏洞無法被直接用來運行shellcode、crash或者download，但仍可被黑客用作"跳板"來訪問其他站點。

1.頁面跳轉

代碼稍作修改就能實現頁面的跳轉：

結合Clickjacking，將使得跳轉變得更加隱蔽。

2.虛假信息、廣告

彈出中獎等信息，誘使瀏覽者訪問。假冒的微博、QQ等熱門網站都可能成為黑客的目標。

除此之外，結合javascript的其他功能，該漏洞還會導致更嚴重的后果。諸如使瀏覽器崩潰。

同時，經過AVG中國實驗室的監測，該漏洞同樣適用于Firefox 7.0.1，建議廣大的火狐用戶及時升級您的殺毒軟件和瀏覽器。

而Chrome用戶，則可以直接到Chrome Web Store（http://chrome.google.com/webstore）添加AVG Site Safety至"我的Chrome"或者直接訪問下面這個網址進行快速的安裝https://chrome.google.com/webstore/detail/ncnjjicckpooflgclhneahpkahcpoama即可。

AVG Site Safety是專門為谷歌的Chrome瀏覽器所設計的。通過安裝Site Safety，Chrome用戶可以實時的對網站進行安全檢查，甄別存在風險的網站。更突出的是，Site Safety能夠為用戶提供一種"打分"機制，無論用戶訪問何種網站，均可以對網站進行評分，之后的訪問用戶則可以隨時觀看這種打分情況。通過"喜歡"與"不喜歡"，用戶可以快速甄別網站是否含有瀏覽價值或者是否含有危險鏈接等。與打分相匹配的，用戶也可以提交評論，作為對打分的一種補充。通過用戶貢獻的這種喜好輿論，AVG能夠為用戶帶來更好、更及時、更準確的安全體驗。

AVG始終堅持"我們努力工作，讓您盡情享受"，網上娛樂和工作在安全的前提下進行才最重要。