标签: Chrome

谷歌账户获得新的验证功能,以防止网络钓鱼攻击

据外媒 BGR 报道,在其 G Suite 博客的更新的一篇博文中,谷歌宣布将为谷歌帐户持有者带来一项新的安全功能,这些帐户持有者也碰巧依靠 Chrome 浏览器进行其网页浏览活动。 谷歌希望通过验证用户登录他们控制的谷歌帐户来提高安全性。此举旨在防止任何人悄悄登录可能属于恶意第三方的谷歌帐户。但是,并非所有谷歌用户都会看到这个新界面,因为这专门针对的是第三方登录。谷歌表示,新的安全功能将于 5 月 7 日开始推出。 稿源:freebuf,封面源自网络;

Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击

据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Chrome 难抵恶意下载攻击 数秒内耗尽资源失去响应

在 IT 行业,“ 技术支持诈骗 ” 是一种相当令人不齿的行为。通常情况下,当受害者访问到某个受影响的网站的时候,其浏览器就会被无法轻易消除的 “ 弹窗警告 ” 给遮挡。如果不打电话过去请求付费支援,那么动手能力不佳的用户可能就要干瞪眼了。此前,这类攻击通常面向于微软 Windows 操作系统自带的旧款 IE 浏览器。但是现在,研究人员发现 Google Chrome 也会中招了。  据悉,新型攻击影响 64.0.3282.140 版本的 Google Chrome 浏览器。攻击者会让浏览器立即下载成千上万个文件,让浏览器在数秒内就资源耗竭失去响应。 Malwarebytes 分析师 Jerome Segura 表示,该漏洞利用了 Blob 和 msSaveblob 接口(允许将文件保存到计算机本地的功能)。 当用户不小心踩到地雷(陷阱页面)的时候,就会触发大量的下载,让 CPU 和内存占用率瞬间飙升: ● Segura 将这些网页称作 “ 恶意广告 ”,且其能够通过标准的广告拦截器来应对。 ● 此外,如果下载已被触发,用户也可以调出 Windows 任务管理器,然后手动终结浏览器进程。 Segura 指出,虽然 Chrome 有着严格的批量突发下载限制(文件下载间隔时会征求用户许可),但这种攻击的速度实在是太快了,浏览器根本来不及弹窗询问。 我们在 Windows 7 / 10 系统上进行了测试,在弹出对话框之前,浏览器就已经被卡死了。 如上方动图最后一帧所示,当浏览器弹出是否取消下载的提示时,下载就已经完成了。 甚至在你想要 ‘ 抢先 ’ 关闭标签页的时候,浏览器就已经失去响应了。 在此期间,我们没有看到任何提示 ‘ 接受或拒绝 ’ 下载尝试的对话框。 虽然 Windows Defender 即将推出的更新可以移除恐吓型的应用,但目前不清楚该软件是否有能力拦截这类下载攻击。当然,我们也希望 Google Chrome 能尽快推出一个漏洞修复补丁。 稿源:cnBeta,封面源自网络;

全球 50 多万用户或受到四种恶意 Chrome 扩展影响

外媒 1 月 16 日报道,美国网络安全公司 ICEBRG 发现了四种恶意 Chrome 扩展,用于执行点击欺诈或搜索引擎优化。目前受影响的用户数量已经超过 50 万 ,并且攻击者可能会利用该扩展进一步访问企业网络和用户信息。为了做好防护措施,ICEBRG 通知了荷兰国家网络安全中心(NCSC-NL)、美国计算机应急部署小组(US-CERT)以及 Google 安全浏览运营团队。 近日,ICEBRG 发现客户工作站到欧洲 VPS 提供商的出站流量出现了异常激增,其中包括一些全球主要组织的工作站。因此 ,ICEBRG 对该情况展开了调查。根据调查结果,四种恶意 Chrome 扩展的名称分别是: 1、Change HTTP Request Header(ppmibgfeefcglejjlpeihfdimbkfbbnm) 2、Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph) 3、Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj) 4、Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae) 研究人员称这四种 Chrome 扩展允许攻击者以 JavaScript 代码的形式向用户浏览器发送恶意命令,但攻击者只能通过在后台加载一个网站以及点击广告来执行点击欺诈。 在媒体报道该事件时,除了 Nyoogle 之外其他三个恶意扩展已经从 Chrome 网上应用商店删除。不过尽管如此,许多用户仍然在其浏览器中加载了这些恶意扩展程序。 注意: 虽然 Chrome 网上应用商店删除了该恶意扩展,但是可能无法将其从受影响的主机中删除。此外,使用第三方 Chrome 扩展程序库可能仍然允许安装扩展程序。 目前 ICEBRG 已经发布了关于四种恶意 Chrome 扩展的详细报告,并建议用户检查浏览器以及删除其计算机的恶意扩展。 详细报告: <MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES> 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Chrome 将移除 Public Key Pinning (PKP)支持

Google 宣布了从 Chromium/Chrome 中移除 Public Key Pinning (PKP)支持的计划。PKP 是防止中间人攻击和恶意 CA 的一种证书核查机制。Google 工程师给出的理由 PKP 普及率低和存在技术挑战。 Google 计划在明年 5 月 29 日发布 Chrome 67 正式版时移除对 PKP 的支持。这一计划尚未确定下来,用户仍然可以递交反对意见。根据调查,在 2016 年 3 月所有 HTTPS 网站部署 PKP 的比率为 0.09%,到 2017 年 8 月,部署率只提高到 0.4%。 稿源:solidot 奇客,封面源自网络

Google 公布 Chrome 不信任赛门铁克证书的时间表

因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表: 2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告; 2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务; 2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书; 2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。 受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。 稿源:solidot奇客,封面源自网络;

Google Chrome 扩展开发者屡遭网络钓鱼攻击

Google 安全团队在许多 Chrome 扩展开发者成为钓鱼攻击目标后向他们发出安全警告。据悉,这波钓鱼攻击始于六月中旬,直到两大 Chrome 流行扩展 Copyfish 和 Web Developer 的开发者被窃取账号 ,攻击者推送更新在扩展中加入广告后才被人所熟知。 攻击者诱骗开发者的钓鱼邮件内容类似,都是伪装成来自 Google,通知扩展开发者违反了 Chrome Web Store 的规则,需要更新。当扩展开发者点击网址查看问题时他们会被要求用开发者账号登录,开发者在大意之下就可能会将账号泄漏给攻击者。 稿源:solidot奇客,封面源自网络;

Copyfish for Chrome 扩展遭网络钓鱼攻击

Chrome 和 Firefox 扩展 Copyfish 的开发人员发出安全警告,指出他们近期遭到针对性钓鱼攻击,即团队成员不小心在钓鱼页面输入密码。随后,攻击者劫持 Copyfish for Chrome 账号,将 Copyfish 转移到他们控制的账户,并在用户浏览的页面插入广告、释出恶意更新。 目前,Copyfish for Firefox 扩展并未受到影响。开发人员尝试联系 Google,但至今没有接触到任何能够提供帮助的研究人员。据悉,攻击者被认为来自俄罗斯圣彼得堡。 稿源:solidot奇客,封面源自网络;

Adobe 将于 2020 年停止开发和更新 Flash

Adobe 于 7 月 26 日宣布,计划终结 Flash 浏览器插件,并在 2020 年停止开发和分发这款插件。Adobe 建议内容创作者将 Flash 内容移植到 HTML5、WebGL 以及 WebAssembly 格式。Flash 和 Flash 播放器的消失并不会影响大多数用户,因为流行的浏览器早已经远离这种格式。从 macOS 是 和 Safari 10 开始,苹果已经默认禁用 Flash 插件,并将重点放在 HTML5 上,而苹果 iOS 设备从未支持过 Flash。 谷歌 Chrome 浏览器也从去年年中开始,降低 Flash 的重要性。不过对于国内的部分网站来说,Flash 依然很重要。Adobe Flash 自发布以来,就存在大量的严重安全漏洞,让 Mac 和 PC 用户暴露于危险之中。微软和苹果等厂商,一直与 Adobe 工作,并在第一时间推出安全更新。 苹果也在自己的 WebKit 博客上分享了 Adobe Flash 的新闻,并提到苹果正在与 Adobe 以及业界合作伙伴,一起将 Flash 转换为公开标准。2020 年前,Adobe Flash 会继续支持主要操作系统和浏览器,发布安全更新,维持系统和浏览器兼容性,根据情况推出新功能。 稿源:cnBeta,封面源自网络

新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?

研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等),窃取登录或金融凭证等敏感信息。 说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是“www.аррӏе.com”,你是不是 100% 确信它是苹果官网呢? △ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址,实际为域名“epic.com ”。 Punycode 网络钓鱼攻击 Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名( IDN )系统 ASCII( AZ,0-9 )有限字符集的特殊编码。例如,中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下,多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。 研究人员表示,上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实(如仅限中文或仅限日文),而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器(如 Chrome、Firefox 与 Opera )上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并绕过保护措施。 换句话说,你以为看到的是苹果官网 “apple.com”,实际上它是网站“xn—80ak6aa92e.com”,也就是“epic.com”。不过,经过小编们的大胆尝试发现,这一钓鱼网址在微信上并不管用。 △ 网址一模一样是吧?然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接 不过,大家可以放心,IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。 Google 即将推出补丁,Mozilla 还在路上 据悉,研究人员已于今年 1 月向受影响浏览器厂商(包括 Google 与 Mozilla )报告此问题。目前,Mozilla 仍在讨论解决方案,而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。 对此,安全专家建议用户在 Web 浏览器中禁用 Punycode 支持,并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。 Firefox 用户缓解措施(不适用于 Chrome 用户) Firefox 用户可按照以下步骤手动申请临时缓解措施: 1. 在地址栏中输入 about:config,然后按Enter键。 2. 在搜索栏中输入 Punycode; 3. 浏览器设置将显示参数 IDN_show_punycode,通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。 然而,Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置,因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。 知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。对此,专家们建议广大网民访问重要网站时选择手动输入网址,不要轻易访问未知网站或电子邮件中提及的任何链接,以防中招。 原作者:Mohit Kumar,译者:青楚,译审:游弋、狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。