【安全资讯】JavaScript驱动攻击：在Google Chrome中无需零日漏洞的新利用方式

概要：

网络安全研究人员Ron Masas揭示了一种新的攻击方式，攻击者可以在不依赖零日漏洞的情况下，针对Google Chrome用户。这一方法利用了文件系统访问API，使得网站在用户授权的情况下，可以读取和写入本地文件，绕过了Windows和macOS的安全机制。

主要内容：

随着网络攻击手段的不断演变，攻击者开始寻找新的方式来突破浏览器的安全防护。Ron Masas指出，文件系统访问API的使用使得攻击者能够在用户不知情的情况下，直接与本地文件系统进行交互。这一API的设计初衷是为了提升用户体验，但却被恶意用户利用，成为攻击的工具。

通过这一方法，攻击者可以在用户授权后，获取敏感信息或植入恶意代码，从而实现对用户设备的控制。这种攻击方式的成功，主要归因于用户对权限请求的轻视，很多用户在浏览网页时并未仔细审查所授予的权限。

此外，这一新型攻击手法的出现，意味着传统的安全防护措施可能面临挑战。安全专家建议，用户在使用浏览器时应提高警惕，仔细审查网站请求的权限，并定期更新浏览器以防范潜在的安全威胁。