标签: JavaScript

谷歌安全功能:关闭浏览器 JavaScript 将无法登陆谷歌

新浪科技讯 北京时间11月1日上午消息,谷歌今日推出了4个新的安全性功能,旨在提升谷歌帐号的安全程度。这4个更新是提升用户登陆谷歌帐号前后的受保护程度,另外这些更新也适用于用户受到黑客攻击后对帐号进行回复的情况。 谷歌表示,它们推出的第一个安全性功能可以在用户输入用户名和密码之前就对用户的帐号安全加强防护。未来,如果用户在浏览器中关闭JavaScript功能,谷歌将不再允许这些用户进行登录。谷歌会使用JavaScript在用户的登录页面上进行风险分析,如果JavaScript被禁用,会导致入侵者绕过风险分析。谷歌表示,只有大约0.01%的用户会受到这次更新的影响,一小部分用户会为了提升浏览器的性能而禁用JavaScript。 谷歌本次推出的第二个更新与Android恶意应用有关。谷歌计划调取该公司推出的安全扫描应用Google Play Protect的数据,该应用会对用户的手机进行扫描,并且发现手机中所安装的恶意软件,提醒用户进行卸载。 谷歌的第三个更新,是向用户展示他们此前曾经允许那些第三方应用和网站调用用户的帐号信息,提醒用户定期进行检查,对那些已经不再使用的第三方应用和网站进行取消授权操作。 谷歌的第四个更新针对的是用户帐号被入侵之后的恢复工作。这个更新能够帮助用户重新获得帐号的访问权,并且对已经被入侵的数据进行重新保护。另外,用户可以使用这个功能查看Google Pay帐号的消费情况,并且查看Gmail和Drive中是否被添加了新的文件。   稿源:新浪科技,封面源自网络;

GitHub 安全警告计划已检测出 400 多万个漏洞

Github 去年推出的安全警告,极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务,可以搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞,消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法,目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为 30%。实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,98% 的库在 7 天之内打上了补丁。 这个安全警报服务会扫描所有公共库,对于私有库,只扫描依赖图。每当发现有漏洞,库管理员都可以收到消息提示,其中还有漏洞级别及解决步骤提供。 安全警告服务现在只支持 Ruby 和 JavaScript,不过 Github 表示 2018 年计划支持 Python。 稿源:cnBeta、开源中国,封面源自网络;

Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击

据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

即使关闭浏览窗口,某些基于浏览器的挖矿软件还会偷偷运行

目前浏览器制造商正在为浏览器增加更多的功能,并为浏览器提供更多硬件访问。  Google 甚至还基于 Web 浏览器创建了一个完整的操作系统。而现在,恶意软件作者正在争先恐后地利用这些功能。目前更狡猾的是一款基于浏览器的挖矿软件在用户关闭浏览器的情况下,还利用用户的硬件挖掘数字货币。 安全研究人员发现了一个基于 Javascript 的专门针对加密货币的挖掘程序Coinhive。使用 Javascript,Coinhive 能够将代码隐藏到网站中,并使用浏览器打开一个微小窗口隐藏在用户电脑系统状态栏下方,访问电脑硬件来开始挖掘,它会加速受害者用户电脑 CPU 老化,并减慢用户系统运行速度。 好消息是,现在至少用户可以很容易地解决和避免这种问题。当用户关闭浏览器之后,转到 Windows 任务管理器,并检查是否仍然有任何浏览器进程,并且强制结束这些浏览器进程,然后尽量避免访问可疑的网站。 稿源:cnBeta.com, 封面源自网络;编辑:FOX

海盗湾挖矿工具卷土重来且用户无 “退出” 选项

上个月,媒体曝光了 “海盗湾(The Pirate Bay)” 利用网页内嵌的 JavaScript 程序将浏览者的电脑作为其挖掘虚拟货币工具的消息。当网友浏览 “海盗湾” 网站时,他的电脑的 CPU 占有率将会出现大幅飙升甚至可能 100% 满载负荷运行。对此,海盗湾给出的解释是他们正在测试另一种获得收入的方式。 尽管这种行为遭到强烈不满,但海盗湾似乎还是再次用上了这个虚拟货币挖矿工具,只不过这次它不像之前测试那么明显。据了解,这个挖矿工具通过一个 adscript 运行,也就是说,如果用户的浏览器安装了一个 adblocker 的话,那么在访问海盗湾网站时将不会受到影响。而为了不让用户在不知情的事情被利用挖矿,Adblock Plus 公布了一份脚本。 用户在海盗湾无法找到退出挖矿的选项,同时他们也不会得到其 CPU 正在被用于挖矿的通知。不过这种行为很有可能是某流氓广告商的行为而非来自海盗湾自身,然而因为海盗湾未作任何回应所以背后的真相如何现在还无法得知。 稿源:cnBeta,封面源自网络;

美国政府网站托管 JavaScript 下载器分发 Cerber 勒索软件

据外媒 9 月 3 日报道,网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现,一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示,受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上,受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档,其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露,该恶意程序代码于 8 月 30 日被研究人员发现,随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站,也不了解有多少受害者已被感染,研究人员表示还将继续展开调查。不过,Anubhav 认为,该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件,以感染整个网站内部系统。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript 库

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当的条件下,这些漏洞会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug(攻击者可借此向受害站点注入恶意脚本)。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点(以及 7.5 万个随机 .com 域名),统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点(以及 46.5% 的 .com 站点)使用了其中一个。 研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。 万幸的是,热门站点在这方面做得相对更好(用漏洞库的比例低很多),Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是,只有少量站点(2.8% 的 Alexa、1.6% 的 .com)可以通过免费补丁进行更新修复,因为大版本的跃迁(比如从 1.2.3 到 1.2.4)可能会无法向后兼容。 稿源:cnBeta;封面源自网络

研究员利用 JavaScript 破解英特尔等 22 款 CPU 的 ASLR 保护

阿姆斯特丹自由大学系统及网络安全小组 VUSec 本月 15 日揭露了一项攻击技术,可绕过 22 款处理器的 ASLR 保护,波及 Intel、AMD、Nvidia 及 Samsung 等处理器品牌。 ASLR 是许多操作系统的预设安全机制,它在虚拟位址空间中随机配置应用程序的代码与资料,以提高黑客的攻击门槛,被视为保护网络用户的第一道防线。而 ASLR 的限制正是现代处理器管理内存的基础,VUSec 研究人员打造了一个 JavaScript 攻击程序可完全去除 ASLR 对处理器所带来的安全保障。 研究人员解释称,处理器中的内存管理单元(MMU)是借由快取阶层来改善搜寻页表的效率,但它同时也会被其他程序利用,像是浏览器中所执行的JavaScript。于是他们打造了名为 ASLRCache(AnC)的旁路攻击(side-channelattack)程序,可在 MMU 进行页表搜寻时侦测页表位置。 安全研究人员开发了 AnC 的原生版本与 JavaScript 版本,通过原生版本来建立可在 22 款处理器上观察到的 MMU 讯号,再以 JavaScript 版本找出 Firefox 及 Chrome 浏览器上的程序码指标与堆积指标,计算出档案的实际位址,最快只要 25 秒就能让 ASLR 的保护消失无踪。 现阶段 VUSec 已释出 AnC 的原生版本以供研究使用,但为了维护网络使用者的安全,并不打算发表 JavaScript 版本。即便如此,研究人员仍然预期任何拥有较高能力的黑客在几周内就可复制相关的攻击程序。VUSec 警告,由于 AnC 攻击程序利用的是处理器的基本属性,现在是无解的,对使用者而言,唯一的防范之道就是不执行可疑的 JavaScript 程式,或是直接在浏览器上安装可封锁 JavaScript 的插件。 其实 AnC 早在去年 10 月就出炉了,但当时 VUSec 决定先行知会相关业者,包括处理器、浏览器与操作系统领域,一直到本周才对外公开。 稿源:cnBeta;封面源自网络

俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部

据卡巴斯基实验室周四报道,被称为“ Turla ”的俄罗斯网络间谍组织正在使用一种新的 JavaScript 恶意软件针对欧洲外交部机构。 Turla 是一个俄罗斯网络间谍 ATP 组织(也称为 Waterbug 、Venomous Bear、KRYPTON )自 2007 年以来一直处于活跃状态,主要针对欧洲的外交部等政府组织和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部。 去年 11 月,卡巴斯基实验室和微软发现了一种新的恶意软件“ KopiLuwak ”,据博客中介绍它使用多个 JavaScript 层来逃避检测。恶意代码通过在目标机器上创建注册表项以获得持久性。一旦感染了目标系统,恶意代码可执行一系列命令并收集信息,被窃取的数据将被加密并存储在一个临时文件中。恶意软件的 C&C 服务器 IP 地址以硬编码的形式存储在恶意代码中,并允许操作者通过 Wscript.shell.run() 执行任意命令。恶意软件仍利用 Office 文档的宏功能、借助钓鱼邮件传播。 目前已发现了一个受害者:攻击者伪装成卡塔尔驻塞浦路斯大使馆向塞浦路斯政府外交机构发送 “ 国庆招待会( Dina Mersine Bosio 大使的秘书).doc ”公函文件。卡巴斯基的研究人员认为恶意软件“ KopiLuwak ”将在未来更多地被使用。 从内容上推断,它可能是卡塔尔大使的秘书发送给塞浦路斯外交事务机构的。这意味着攻击者至少控制了一个卡塔尔外交部网络系统,从而发送钓鱼邮件。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Gmail 即将落实阻止 JavaScript 附件的政策,以减少恶意攻击

据外媒报道,Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起,用户将无法再添加 .js 类型的附件,因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件,攻击者可以利用它来获得 PC 的访问权限,窃取数据或执行其它破坏性操作。 Android Police 指出,JavaScript 已成为继 .exe .bat .msc 之后,被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件,但斩断直接发送的途径,对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求,也可以考虑通过谷歌网盘或云存储等方式,发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户,将会看到一则“禁止上传”的警告提示。 稿源:cnbeta 有删改;封面:百度搜索