标签: Google

Chrome 86.0.4240.111 已修复 CVE-2020-15999 零日漏洞

谷歌在今天早些时候推出了 Chrome 浏览器的 86.0.4240.111 版本,以修复正在被积极利用的 CVE-2020-15999 零日漏洞。据悉,该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug,随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。 团队负责人 Ben Hawkes 表示,其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。 尽管在今日早些时候发布的 FreeType 2.10.4 版本中,已经包含了针对该漏洞的补丁修复,但 Ben Hawkes 还是敦促使用相同字体渲染库的其它厂商也尽快更新其软件,以防止此类攻击的扩大化。 Chrome 用户可通过浏览器内置的更新功能(菜单 -> 帮助 -> 关于),升级到最新的 86.0.4240.111 版本。 等到其它软件厂商在未来几个月内实施了修复之后,想必谷歌 Project Zero 也会披露有关有 CVE-2020-15999 漏洞利用的更多细节。 据悉,CVE-2020-15999 是过去 12 个月以来,第三次被发现存在野外利用的 Chrome 零日漏洞(此前还有 2019 年 10 月的 CVE-2019-13720、以及 2020 年 2 月的 CVE-2020-6418)。 感兴趣的朋友,可移步至 FreeType 开源项目主页了解这个零日漏洞。     (消息来源:cnbeta,封面来自网络)

Google 为 Pixel 设备提供的 10 月更新修复了刷新手势的 Bug 以及其它严重漏洞

与每个月的情况一样,谷歌已经开始为本月支持的Pixel设备推出月度安全补丁。这家搜索巨头还发布了Android安全公告,以记录作为2020年10月补丁的一部分所解决和修复的所有错误和漏洞。补丁列表中包括操作系统中各个组件中的一些高严重性漏洞,公告中提供了详细的内容。 除了这些适用于不同Android版本的修复之外,该公司还详细介绍了针对支持的Pixel设备发布的功能补丁。这些更新通过带来Pixel手机特有的性能改进、bug修复等,提高了设备的可用性。 本月的更新为所有支持的机型带来了屏幕自动旋转的改进,为最新的中端机、Pixel 4a等带来了触控灵敏度和自动亮度的提升。此次更新还修复了最近报道的向上滑动手势访问最近应用UI的问题。 以下是该公司发布的完整变更日志: 补丁应该会在今天通过空中更新(OTA)逐步开始向所有用户推出。然而,对于带运营商锁的设备,推出时间表可能有所不同。Google还在此提供了OTA镜像,供用户手动加载镜像并更新设备。 此外,Android安全公告本月补丁的源代码将在未来48小时内在Android开源项目(AOSP)存储库上提供。     (稿源:cnBeta,封面源自网络。)

谷歌正筹建一支 Android 安全团队 致力于查找敏感应用中的漏洞

随着操作系统代码复杂度的提升,Bug 与漏洞也变得越来越难以避免。与此同时,随着 Android 与 iOS 平台在移动时代的重要性日渐提升,行业也需要越来越多有这方面经验的安全研究人员。最新消息是,搜索巨头谷歌正在组建一支 Android 安全团队,并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事,但谷歌显然还是希望通过成立一支新的团队,来进一步加速发现和修复 Bug 的过程。 具体说来是,这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是,该公司也在一则招聘启事中进行了披露。   据悉,搜索巨头希望招募安全工程方面的经理人选(传送门),该职位需要负责组建一支安全团队,然后对 Google Play 上高度敏感的第三方 Android 应用进行安全评估。 外媒猜测,该团队或专注于包含敏感用户数据的 App,比如网银和最近流行的 COVID-19 密切接触者追踪通报应用程序。 此外这份招聘启事还讨论了谷歌正在寻找的新 Android 安全团队将不仅致力于发现敏感 App 中的漏洞,同时也会提供解决问题的补救措施。 更进一步的话,新团队还将负责与其它 Android 安全团队的合作,以找到更好的方法来缓解此类问题的发生,后续显然会将范围覆盖到自家的 Play 应用商店之外。 换言之,此举将提升 Android 生态系统的整体安全性和可访问性,进而带来更好的用户体验。     (稿源:cnBeta,封面源自网络。)

谷歌在 Gmail 漏洞公布七小时后部署了缓解措施

早在 4 个月前,安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是,尽管给足了 137 天的时间,谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是,在 Allison Husain 将详情公布后不久,谷歌团队就于 7 小时内在服务器端部署了缓解措施,以便能够撑到 9 月的正式修复。 据悉,该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。 此外 Allison Husain 指出,该 bug 还使得邮件附件能够骗过发件人策略框架(SPF)和基于域的消息身份验证(DMARC)这两项最先进的邮件安全标准。 遗憾的是,搜索巨头在漏洞修复上有些不够积极,甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码,谷歌工程师才于昨日改变了主义。 博文上线 7 小时后,谷歌向 Allison Husain 表示,该公司已在服务器端部署了缓解措施。 至于这个 Gmail(G Suite)Bug 本身,实际上是两个因素的结合,首先是攻击者可将欺骗性的电子邮件发送到后端网关。 其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发,同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。 利用此功能转发的好处是,Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端,其垃圾邮件评分也可能较低,从而减少了被过滤系统拦截的可能。 Allison Husain 指出,这两个 bug 都是谷歌独有,如果漏洞未得到及时修补,其很有可能被恶意邮件发送者滥用。庆幸的是,通过在服务器端部署缓解措施,用户这边无需执行任何附加操作。     (稿源:cnBeta,封面源自网络)

谷歌浏览器造成大规模用户安全信息泄露

Awake Security的研究人员表示,他们在谷歌的Chrome浏览器的扩展程序中发现了一个间谍软件,含有这个间谍软件的扩展程序已经被下载了3200万次。这一事件凸显出科技企业在浏览器安全方面的失败,而浏览器被广泛使用在电子邮件、支付以及其他敏感性功能中。 Alphabet旗下的谷歌表示,在上个月接到了研究人员的提醒之后,他们已经从Chrome Web Store中移除了超过70个存在此恶意软件的扩展程序。 谷歌发言人斯科特·维斯托弗(Scott Westover)表示:“当我们得到通知Web Store中存在违反了政策的扩展程序之后,我们立即采取了行动,并将此作为培训材料,从而提升我们的自动和手动分析效果。” Awake联合创始人兼首席科学家加里·戈隆布(Gary Golomb)表示,按照下载数量计算,这是Chrome商店中出现过的影响最为严重的恶意软件。 谷歌拒绝讨论新间谍软件与此前出现的恶意软件有何区别,也拒绝透露该软件的影响范围,以及谷歌为何没有主动监测并删除该软件,而此前他们曾承诺将密切留意产品安全。 现在还不清楚是谁散播了这个恶意软件。Awake表示,在将还有恶意软件的扩展程序上传到谷歌商店的时候,软件的开发者填写了虚假的联系信息。戈隆布称,这些扩展程序可以躲避反病毒企业或安全软件的扫描。 研究人员发现,如果有普通用户在家用电脑上使用带有恶意软件的浏览器,它会联系多个网站,然后传输用户信息。如果用户使用的是企业网络,由于企业网络存在安全服务,那么该恶意软件则不会传输敏感信息。 近些年来,欺骗性扩展程序一直存在,但是此前他们的危害程度并不高,只是强迫用户观看广告等等。然而现在,它们却变得越来越危险,甚至可以用来监测用户的位置和他们的活动。 很长时间以来,都有恶意软件开发者利用谷歌的Chrome Store散播恶意软件,2018年,研究发现每十个提交到Chrome Store的扩展程序中,就有一个存在恶意软件。随后,谷歌宣布他们将提升安全程度,增加人工审核员。 但是今年2月,独立研究者加米拉·凯亚(Jamila Kaya)和思科系统的Duo Security发现,Chrome浏览器出现了一个恶意插件,盗取了大约170万用户的数据。随后谷歌参与了调查,并且发现了500个欺诈性扩展程序。     (稿源:新浪科技,封面源自网络。)

谷歌 Pixel 4 Android 11 降级 Android 10 出 bug:面部识别不能用

6月15日消息,上周Android 11 Beta 1正式上线,谷歌Pixel机型率先尝鲜。考虑到这是Beta版Android 11,系统方面不够稳定,不少Pixel用户升级到Android 11之后选择降级回到Android 10,然而在降级之后发现了新的Bug。 据9to5Google报道,不少用户反馈谷歌Pixel 4、Pixel 4 XL降级回到Android 10之后面部识别不能用,系统提示面部信息无法录入。 谷歌方面承认了这一错误,表示会在后续版本中修复这一bug。9to5Google提醒用户,升级到Android 11的Pixel 4系列用户谨慎降级,否则面部识别无法使用。由于Pixel 4、Pixel 4 XL仅支持3D人脸识别,没有指纹,所以降级后如果出错只能用传统的密码或者图案解锁,安全性方面会降低。 值得一提的是,除了Pixel 4系列之外,一加8系列、Realme X50 Pro系列、小米10系列、小米POCO F2 Pro、Find X2系列等都将在本月尝鲜Android 11,值得期待。     (稿源:快科技,封面源自网络。)

谷歌称境外黑客对特朗普和拜登等竞选者的电子邮件展开了攻击

路透社报道称,境外黑客正在对美总统候选人的电子邮件展开攻击,现任总统唐纳德·特朗普和民主党主要候选人乔·拜登的个人电子邮件账户都受到了威胁。分析称某些具有资深背景的黑客试图将拜登竞选团队的工作人员作为攻击目标,另有所谓的伊朗黑客将目光瞄向了特朗普竞选团队工作人员的电子邮件账户。 谷歌威胁分析团队负责人 Shane Huntley 在一条推文中称,黑客已对美总统竞选人开展了网络钓鱼尝试,且丝毫没有就此收手的迹象。 谷歌发言人亦在接受 TheVerge 采访时称,该公司尚未见到有证据表明任何攻击攻击已经得逞,因此未将相关信息转交给联邦执法人员。 即便如此,谷歌仍鼓励竞选团队成员为其工作和个人电子邮件账户加以额外的防护,比如两步验证和谷歌提供的高级安全防护等资源。 拜登竞选团队的新闻事务部长 Matt Hill 表示,他们已经意识到了网络钓鱼的企图,竞选团队将保持警惕,并且为应对此事做好了网络安全相关的准备。 特朗普竞选团队发言人亦表示,其已被告知境外黑客未能攻破其部署的安全防线,同样对网络安全保持警惕,但未进一步谈论任何预防措施。     (稿源:cnBeta,封面源自网络。)  

谷歌推出专门网站 帮助人们避免网上诈骗

谷歌周四公布了一个网站,旨在教人们如何发现和避免网上诈骗,因为在冠状病毒大流行的情况下,数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式,比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”(Cybercrime Support Network)合作推出了这一网站。该网站包括一个小测验,通过常见的诈骗场景,比如收到一条关于赢得夏威夷之旅的消息,通过这个小测验来测试用户反欺诈的能力。 谷歌表示,这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局,已经损失了超过4000万美元。联邦贸易委员会预计,今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候,美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗,这些骗局要求提供个人信息,如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示,该网站特别针对教育老年人,他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     (稿源:cnBeta,封面源自网络。)

谷歌工程师:七成 Chrome 安全漏洞是内存安全问题,Rust 又成备选语言

近日,有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现,在这些被标记为“高”或“严重”等级的所有安全漏洞中,大约 70% 是内存管理和安全问题。 这其中又有一半是 use-after-free 漏洞。这种安全问题是由对内存指针(地址)的错误管理引起的,为攻击者打开了攻击 Chrome 内部组件的大门。 这一数据恰巧与微软此前的研究结果相同:微软安全响应中心(MSRC)对自 2004 年以来所有报告过的微软安全漏洞进行了分类,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。 微软安全响应中心曾给出解释,这是因为他们大多数产品使用 C 和 C++ 编写,而这两种编程语言属于“内存不安全”(memory-unsafe)的范畴。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误。 谷歌也面临着相似的境地。仅仅从 2019 年 3 月到现在,等级为“严重”的 130 个 Chrome 漏洞中,有 125 个与内存损坏相关,可见内存管理仍然是一个很大的问题。 为此,谷歌工程师必须遵循 “2 的规则”(The Rule of 2)。即每当工程师编写新的 Chrome 特性时,其代码不得破坏以下两个以上的条件: 该代码处理不可信的输入 代码在没有沙箱的情况下运行 代码使用不安全的编程语言(C/C ++)编写 迄今为止,谷歌一直在 Chrome 中尝试使用沙箱方法。他们将数十个进程隔离到自己的沙箱中,最近还推出了“站点隔离”功能,该功能将每个站点的资源也放入自己的沙箱进程中。但谷歌工程师表示,考虑到性能问题,他们使用沙盒化 Chrome 组件的方法已达到最大收益,现在必须寻求新的方法。 因此,谷歌计划研究开发自定义 C++ 库,以与 Chrome 的代码库一起使用,这些库可以更好地保护与内存相关的错误。 与此同时,谷歌还在探索 MiraclePtr 项目,该项目旨在将“use-after-free bug 转变为具有可接受的性能、内存、二进制大小和最小的稳定性影响的非安全崩溃”。 最后,值得注意的一点是,谷歌表示计划在可能的情况下使用“安全”语言进行探索。候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。   (稿源:ZDNet,封面源自网络。)

谷歌披露影响苹果全平台的 Image I/O 零点击漏洞

周二的时候,谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说,Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称,谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用,或导致用户遭遇“零点击”攻击。 据悉,Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。 问题可追溯到围绕图像格式解析器的一些老生常谈的问题,这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件,便可在目标系统上运行无需用户干预的“零点击”代码。 谷歌 Project Zero 补充道,他们分析了 Image I/O 的“模糊处理”过程,以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术,是因为苹果限制了对该工具大部分源代码的访问。 结果是,谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞,后者正是苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架。 谷歌 Project Zero 安全研究人员 Samuel Groß 写道:“经过足够的努力,以及由于自动重启服务而授予的利用尝试,我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。 鉴于这是一种基于多媒体攻击的另一种流行途径,其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”,后者包括以安全性的名义而减少对某些文件格式的兼容政策。 最后需要指出的是,苹果已经在 1 月和 4 月推出的安全补丁中,修复了与 Image I/O 有关的六个漏洞。   (稿源:cnBeta,封面源自网络。)