标签: Google

谷歌发布安全报告:详细介绍去年年初检测到的复杂黑客攻击

谷歌今天发布了由六份博文组成的系列安全报告,详细介绍了在 2020 年初检测到的一个复杂黑客活动,攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击(watering hole attacks)发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出:“其中一台服务专门针对 Windows 用户,而另一台则针对 Android 用户”。谷歌表示,这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入,攻击者就会部署操作系统级别的漏洞,以获得受害者设备的更多控制权。该漏洞链使用了多个 Zero-Day 和 N-Day 漏洞,Zero-Day 漏洞指的是软件制造商不知道的漏洞,N-Day 漏洞指的是已经打过补丁但仍在野外被利用的漏洞。 谷歌表示,虽然他们没有发现任何安卓零日漏洞托管在漏洞服务器上的证据,但其安全研究人员认为,威胁行为人很可能也能获得安卓零日漏洞,但很可能在其研究人员发现时,并没有将其托管在服务器上。 总的来说,谷歌将这些利用链描述为“通过其模块化设计来提高效率与灵活性”。谷歌表示:“它们是精心设计的复杂代码,具有各种新颖的利用方法,成熟的日志记录,复杂和计算的后利用技术,以及大量的反分析和目标检查”。 CVE-2020-6418 – Chrome Vulnerability in TurboFan (fixed February 2020) CVE-2020-0938 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1020 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1027 – Windows CSRSS Vulnerability (fixed April 2020)         (消息来源:cnBeta;封面源自网络)

谷歌修复 Chrome 新创建文件被 Windows 10 反病毒软件锁定的 Bug

Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时,反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉,为安全起见,反病毒软件通常会临时锁定系统上新生成的文件,直到对其完成了反病毒扫描、并排除了恶意活动的可能。 谷歌工程师 Bruce Dawson 解释称:“反病毒程序和其它扫描软件可能会暂时锁定新创建的文件,但这可能引发频繁的问题,比如在保存新建的浏览器书签、或其它基于 ImportantFileWriter 执行的操作时”。 好消息是,正如 Windows Latest 在本周早些时候首次报道的那样,即便启用了防病毒工具,Chromium 团队已经引入了一项增强功能,以便 Chrome 浏览器能够在 Windows 10 上平稳运行。 由提交的 Chromium 代码可知,修复程序通过多次重试 ReplaceFile 的方法来规避相关问题。在避免争抢文件访问权限的同时,防病毒程序可控制(并锁定)被 Chrome 同时访问的文件。 庆幸的是,这个 Important_file_writer.cc 的 Bug 仅影响 Windows 操作系统平台(修复如上图第 45 行所示)。 此外本次改进还引入了机器学习方面的新体验,意味着随着使用时间的增长,Chromium 将自动学会如何通过一些细微的操作来避开这种竞争条件(所需的失败尝试次数)。 自 2020 年 12 月 30 日起,该修复程序已合并到 Chromium 的项目代码存储库中,预计可在下一版本的 Google Chrome 浏览器中得到全面修复。 有需要的用户,还请及时留意 Google Chrome 浏览器的后续版本更新。           (消息来源:cnBeta;封面源自网络)

Google Docs 存在安全漏洞 可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现,他因此项发现获得了$ 3133.70的奖励。 Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助提升”的选项,用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着,每当包含Google文档窗口的屏幕被截图时,图像都需要将每个像素的RGB值传输到父域(www.google.com),然后将这些RGB值重定向到反馈域,最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞,使黑客可以将框架修改为任意外部网站,进而窃取Google Docs屏幕截图。 值得注意的是,该漏洞源于Google Docs域中缺少X-Frame-Options标头,这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互,但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意,因为它会公开将数据发送到任意网站。 Mozilla文档警示:“恶意站点可以在用户不知情的情况下更改窗口位置,进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时,请始终指定确切的目标来源,而不是* 。”               消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

谷歌 Project Zero 披露了 Windows 中的严重安全漏洞

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节: https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在,它公开披露了Windows中的一个安全漏洞,如果被人利用,会导致权限提升。 谷歌 “零号项目 “安全人员表示,恶意进程可以向splwow64.exe Windows进程发送本地过程调用(LPC)消息,攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上,卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题,微软早在6月份就打了补丁。不过,这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整,他表示,微软的修复只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日,Google Project Zero私下向微软报告了零日的情况,标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序,但该发布时间段随后滑落到12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在它将在2021年1月发布一个补丁。 12月8日,双方开会讨论了进展和下一步的计划,其中确定不能向微软提供14天的宽限期,因为该公司计划在2021年1月12日的补丁周二发布补丁,比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策,但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows,但卡巴斯基几个月前的报告显示,攻击者一直在利用它来攻击新版本的Windows10。       (消息来源:cnBeta;封面来源于网络)

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

谷歌 Project Zero 团队近日披露了存在于高通 Adreno GPU 的“高危”安全漏洞,不过目前高通已经发布补丁完成了修复。这个漏洞和 GPU 共享映射的处理方式有关,有关于该漏洞的详细代码细节可以访问谷歌提供的列表。 根据博文描述,Adreno GPU 驱动程序为每个内核图形支持层(KGSL)描述符链接了一个私有设备结构,而描述符包含上下文切换所需的页表。此结构与 process ID (PID) 相关联,但同一流程中可以被其他 KGSL 描述符重用,可能会提高性能。 当调用进程派生创建一个子进程时,后者也继承了最初为父进程创建的KGSL描述符的私有结构,而不是创建一个新的子进程。本质上,这给子进程(可能是攻击者)提供了对父进程将创建的后续GPU映射的读取访问权,而父进程却不知道。 可以看出,这是一个相当复杂的攻击。Google Project Zero 团队表示,在实际情况下,要想要成功利用该漏洞将要求攻击者循环 PID,然后通过崩溃 BUG 来触发 well-timed 或者系统服务重启。该漏洞可能会尝试回复受感染者 GPU 渲染的内容或者其他 GPU 操作的结果。 该漏洞已经于 9 月 15 日报告给了高通,并提出了修复建议。在 90 天的标准期限(截至 12 月 14 日)之前,高通在 12 月 7 日完成了修复并和 OEM 厂商私下共享了信息。高通表示将会在 2021 年 1 月公开该漏洞的相关细节。         (消息及封面来源:cnBeta)

谷歌扩大 Chrome 漏洞奖励计划:最高赏金 3 万美元

Chrome 漏洞奖励计划(VRP)自 2010 年启动以来,得到了很多安全研究人员的踊跃参与,通过报告存在于 Chrome 和 Chrome OS 中的漏洞来赚取赏金。而通过这个项目,谷歌也修复了大量漏洞,从而让软件变得更加安全。现在,谷歌宣布进一步扩大奖励计划,并为 V8 JavaScript 引擎中的漏洞提供两倍的赏金。 此前,谷歌只是对那些在 V8 中具备完整功能报告的安全专家提供奖励。而现在,谷歌还会对那些耗时提出如何利用安全漏洞的研究人员提供奖励,这些悬赏的赏金已经增加了一倍。谷歌表示,提供可供利用证据的安全专家能够帮助公司修复错误和缓解漏洞,因此应给予相应的奖励。它还强调,即使V8安全错误不属于上述类别,它仍可能有资格获得更高的奖励。         (消息来源:cnBeta;封面来自网络)

仍有不少谷歌商城应用没有跟进修复 Play Core Library漏洞

在宣传 Play Store 的时候,谷歌表示它不仅仅只是一个 Android 应用商城,更是你可以信赖且安全的应用来源。不过这并不代表着就百分百安全了,近日谷歌对存在于 Google Play Core Library 中的安全漏洞进行了修复,不过由于应用开发者尚未完全跟进,意味着依然有不少应用和它们的用户存在风险。 顾名思义,Google Play Core Library 是谷歌移动服务最基础的组件之一。它提供了包括下载其他语言、管理特征模块的分发或者功能之类的功能,而不需要通过 Play Store 更新应用程序本身。几乎所有的 Play Store 应用都利用了这些功能,从而让 Core Library 成为所有 Android 应用程序的关键部分。 不幸的是,Core库中的一个严重缺陷利用了该功能,以使库实际上执行恶意代码。 Check Point Research详细介绍了漏洞利用的工作方式,如果不加以解决,这是一个非常可怕的漏洞。幸运的是,Google已于去年4月修补了Play Core Library,然后于8月公开披露了该漏洞。 不过安全研究人员对该漏洞的调查并未停止,并警告称仍有不少应用程序开发人员尚未更新升级至最新的 Play Core Library。与Google最终完成所有工作的服务器端修补程序不同,这种修补程序必须由应用程序开发人员通过更新其应用程序以使用库的固定版本来自行应用。根据最近的统计,他们估计 Google Play 商店中尚未有 13% 的应用程序没有更新。       (消息及封面来源:cnBeta)

Google 推出 XS-Leaks Wiki 普及有关跨站泄露的网络安全知识

跨站泄露,也被称为 “XS-Leaks”,是网络设计中的一类问题,它允许网络应用相互交互,即使它们不相关。这导致用户数据在不同的Web应用之间共享,通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多,为了解决这一问题,谷歌宣布建立了一个知识库,以便开发者和安全研究人员更好地了解这个问题,并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”,包含的文章解释了跨站点泄漏的概念,演示一些常见的攻击,以及你介绍针对它们设置的防御措施。除了每种攻击的细节,还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能,以防止跨站泄漏,如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员,以使所有相关方提供的多年经验基础上,通过保护所有用户免受利用这种行为的威胁,使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息,这里是谷歌的专门网站,或者这里是相关的GitHub仓库。         (消息来源:cnBeta;封面来自网络)

Google 推出 XS-Leaks Wiki 普及有关跨站泄露的网络安全知识

跨站泄露,也被称为 “XS-Leaks”,是网络设计中的一类问题,它允许网络应用相互交互,即使它们不相关。这导致用户数据在不同的Web应用之间共享,通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多,为了解决这一问题,谷歌宣布建立了一个知识库,以便开发者和安全研究人员更好地了解这个问题,并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”,包含的文章解释了跨站点泄漏的概念,演示一些常见的攻击,以及你介绍针对它们设置的防御措施。除了每种攻击的细节,还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能,以防止跨站泄漏,如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员,以使所有相关方提供的多年经验基础上,通过保护所有用户免受利用这种行为的威胁,使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息,这里是谷歌的专门网站,或者这里是相关的GitHub仓库。         (消息来源:cnBeta;封面来源于网络)

谷歌研究人员演示如何远程盗取 iPhone 中的照片

据外媒报道,近日谷歌Project Zero研究人员Ian Beer演示了如何远程盗取iPhone中的照片。在视频中,Beer用iPhone拍摄了一张照片,然后打开YouTube应用。YouTube应用并不是黑客攻击的一部分–它的打开只是为了演示iPhone在被篡改时如何没有任何被篡改的迹象。 自动攻击不需要互联网连接,它确实需要iPhone连接到某种无线系统 – 在这种情况下,它连接到Wi-Fi信号。通常情况下,Wi-Fi网络是有密码保护的,所以设备和攻击者之间会有额外的安全层。Beer建议,演示绕过了他通常需要突破第一条无线连接线的那一点,但这样做只需要时间,而这个演示都是关于初级黑客的。 在黑客攻击中,用户能够利用手机上的内核bug,让黑客将恶意软件上传到手机中,并授权访问手机中的内容。这一切都是远程完成的,黑客不需要对手机进行任何形式的物理访问。整个过程可以在手机用户不知情的情况下进行。这个过程的任何部分都不会以任何明显的方式影响手机的工作进程。 目前的好消息是,这个漏洞从今年年初开始就已经被修复了。只要iPhone有最新的安全更新,你就不会受到这个特定漏洞的影响。       (消息及封面来源:cnBeta)