内容转载

= ̄ω ̄= 内容转载

入侵数百个网站和程序,NPM 供应链攻击造成的影响不可估量

近期,一次可以追溯到2021年12月的NPM供应链攻击使用了几十个包含模糊Javascript代码的恶意NPM模块,并破坏了数百个应用和网站。正如供应链安全公司ReversingLabs的研究人员所发现的那样,这一行动(被称为IconBurst)背后的威胁行为者针对一些开发者使用URL劫持,如gumbrellajs和ionic.io NPM模块。 他们通过非常相似的模块命名方式来诱骗受害者,添加恶意软件包旨在窃取嵌入表单(包括用于登录的表单)的数据到他们的应用程序或网站。例如,该活动中使用的一个恶意NPM软件包(icon-package)有超过17,000次下载,为的就是将序列化的表单数据窃取到多个攻击者控制的域。ReversingLabs的逆向工程师Karlo Zanki说,IconBurst依赖于URL劫持,这些恶意软件包的名称与合法的文件类似。此外,用于泄露数据的域之间的相似性表明,该活动中的各个模块都在同一个参与者的控制之下。 虽然ReversingLabs 团队于2022年7月1日已联系了NPM安全团队,但NPM注册表中仍然存在一些 IconBurst 恶意软件包。“虽然已经从NPM中删除了一些,但在本报告发布时大多数仍然可供下载,”Zanki说,“由于很少有开发组织能够检测开源库和模块中的恶意代码,因此攻击持续了几个月才引起我们的注意。” 尽管研究人员可以编制一份用于IconBurst供应链攻击的恶意软件包列表,但其影响尚未确定,因为无法知道自去年12月以来通过受感染的应用程序和网页窃取了多少数据和凭据。 当时唯一可用的指标是每个恶意 NPM 模块的安装次数,而ReversingLabs的统计数据相当惊人。“虽然目前尚不清楚这次攻击的全部范围,但我们发现的恶意软件包可能被数百甚至数千个下游移动和桌面应用程序以及网站使用。捆绑在NPM模块中的恶意代码正在未知数量的移动和桌面应用程序和网页中运行并被获取大量用户数据,最后,我们团队确定的NPM 模块的总下载量已超过 27,000 次。”   转自 FreeBuf,原文链接:https://www.freebuf.com/news/338412.html 封面来源于网络,如有侵权请联系删除

新勒索软件 RedAlert 来袭!已有 Windows、Linux 等服务器中招

根据BleepingComputer消息,一种名为RedAlert的新勒索软件对企业网络进行攻击,目前已经有Windows和Linux VMWare ESXi系统中招。MalwareHunterTeam 在今天发现了这款新的勒索软件,并在推特上发布了关于该团伙数据泄露站点的各种图片。 根据勒索信中使用的字符串,勒索软件被称为“RedAlert”。但从已获得的消息,勒索者在内部将其称为“N13V”,如下所示。 RedAlert / N13V 勒索软件命令行选项 来源:BleepingComputer Linux 加密器是针对 VMware ESXi 服务器而创建的,其命令行选项允许勒索者在加密文件之前关闭任何正在运行的虚拟机。 命令行选项的完整列表如下所示。 -w      Run command for stop all running VM`s -p      Path to encrypt (by default encrypt only files in directory, not include subdirectories) -f      File for encrypt -r      Recursive. used only with -p ( search and encryption will include subdirectories ) -t      Check encryption time(only encryption, without key-gen, memory allocates …) -n      Search without file encryption.(show ffiles and folders with some info) -x      Asymmetric cryptography performance tests. DEBUG TESTS -h      Show this message 当使用 ‘ -w’ 参数运行勒索软件时,Linux 加密器将使用以下 esxcli 命令关闭所有正在运行的 VMware ESXi 虚拟机: esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | tail -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’ 在加密文件时,该勒索软件利用NTRUEncrypt公钥加密算法,该算法支持各种 “参数集”,提供不同的安全级别。 RedAlert/N13V 的一个有趣特性是“-x”命令行选项,它使用这些不同的 NTRUEncrypt 参数集执行“非对称加密性能测试”。然而目前还不清楚是否有办法在加密时强制使用特定的参数集,以及/或者赎金软件是否会选择一个更有效的参数集。目前已知唯一使用此加密算法的其他勒索软件操作是FiveHands。 NTRUEncrypt 加密速度测试 来源:BleepingComputer 加密文件时,勒索软件只会针对与 VMware ESXi 虚拟机关联的文件,包括日志文件、交换文件、虚拟磁盘和内存文件,如下所列。 .log .vmdk .vmem .vswp .vmsn 在 BleepingComputer 分析的样本中,勒索软件会对这些文件类型进行加密,并将.crypt658扩展名附加到加密文件的文件名中。 使用 RedAlert 在 Linux 中加密文件 来源:BleepingComputer 在每个文件夹中,该勒索软件还将创建一个名为HOW_TO_RESTORE的自定义勒索说明,其中包含对被盗数据的描述和专门针对受害者的TOR赎金支付网站的链接。 RedAlert /N13V 赎金票据 来源:BleepingComputer Tor 支付站点与其他勒索软件操作站点类似,它同样是显示赎金需求并提供与攻击者协商的方式。但是RedAlert/N13V 只接受门罗币加密货币进行支付,因为它是一种隐私币,所以在美国加密货币交易所并不常见。 RedAlert / N13V Tor 协商网站 来源:BleepingComputer 虽然只找到了一个 Linux 加密器,但支付网站有隐藏的元素表明也存在有 Windows 解密器。 请警惕! 与几乎所有新的针对企业的勒索软件操作一样,RedAlert 进行双重勒索攻击,即数据被盗,然后部署勒索软件来加密设备。 这种策略提供了两种勒索方法,使威胁者不仅可以要求解密器赎金,还可以要求赎金以保证被盗数据不被泄露。 当受害者不支付赎金要求时,RedAlert 团伙会在他们的数据泄露网站上发布被盗数据,任何人都可以下载。 RedAlert / N13V 数据泄露站点 来源:BleepingComputer 目前,RedAlert 数据泄露站点仅包含一个组织的数据,表明勒索行为很可能是最近才发生的。 虽然新的 N13V/RedAlert 勒索软件操作没有出现大范围的勒索活动,但由于其先进的功能和对 Linux 和 Windows 的即时支持,我们是肯定需要密切关注它。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/338387.html 封面来源于网络,如有侵权请联系删除

美国执法部门通过在线旅行社长期监视俄罗斯黑客行踪

安全内参消息,美媒福布斯援引法律申请了一批政府公开文件,首次揭露了美国政府通过私营公司监视国际公民行踪的秘密监视令活动。 美国的Sabre和英国的Travelport是两家世界级大型旅游公司,把持着中国和俄罗斯之外的全球旅游预订市场。 几十年来,这两家公司一直在通过所谓的“全球分销系统”(GDS)收集和储存国际游客的信息,帮助游客在各大航空公司、邮轮公司、汽车租赁公司和酒店完成旅游预定。这些蕴含着巨大价值的数据显然引起了美国执法部门的注意。 布尔科夫案 阿历克谢・布尔科夫(Aleksei Burkov)是一名俄罗斯黑客。美国政府认为他经营的Cardplanet网站涉嫌协助他人使用被盗信用卡获利2000万美元,因此于2015年责成特勤局对其进行追捕。 但莫斯科与华盛顿之间没有签署引渡协议。这意味着只能趁逮捕布尔科夫离开俄罗斯的时候将其逮捕,所以美国执法部门想起了Sabre和Travelport经手与使用的旅行数据。 在2015年发布的一份法庭令中,美国特勤局要求Sabre和Travelport公司对布尔科夫的旅行情况进行持续两年的监视(美方称之为“完整的实时同步账户活动”,主要监视目标账户的记录、服务、使用等情况),并向特勤局每周报告一次监视所得结果。根据福布斯的披露,Sabre公司此前还对另外一名黑客进行过此类监视。但那次持续时间仅为六个月,远远短于布尔科夫的两年。 图:布尔科夫在以色列被捕 Sabre和Travelport公司的监视效果如何目前并不清楚。但布尔科夫确实在法庭令发布后不久的2015年12月被捕。当时他刚刚在特拉维夫度过了几周假期。不过,官方始终没有公布他是如何被追踪到在以色列旅游的。美国司法部也三缄其口,未就此事提供更多信息。 尽管俄罗斯一再阻挠,但以色列还是于2019年末把布尔科夫引渡到美国。2020年6月,布尔科夫被美国政府以伪造和网络入侵等罪名判处108个月徒刑。 但奇怪的是,他在美国服刑至2021年9月便被莫名其妙地送回俄罗斯。尽管有议员担心布尔科夫回到俄罗斯后会为俄政府工作,从事有损美国利益的网络活动,但美国司法部至今也未向外界解释当时为什么会把他送回俄罗斯。 涉事公司不愿直面监视话题 卷入布尔科夫案的Sabre和Travelport两家公司显然不愿意正面回答是否遵从了美国政府发布的监视令。 Saber公司发言人只是泛泛地表示本公司会在法律允许的范围内对合法程序进行回应。“保护Sabre用户的数据以及遵守法律是我们必须严肃承担起来的义务,”他说。 Travelport公司则声称,本公司并未执行过对特定人员的监视任务。“Travelport公司一向遵守合法渠道发出政府法令,但从未对任何个人进行过主动监视,”公司发言人说。与此同时,Travelport公司没有澄清可以在政府要求下提供何种类型的数据。 (本文刊出后,Travelport公司声称游客信息将在最后一次旅游交易完成36个月后予以删除。并表示通过公司掌握的数据记录只能看出游客在哪里做的预定,无法确定该游客是否按照预定进行了旅行。公司发言人说,“Travelport没有向政府部门提供个人数据的惯例,也不会给美国执法部门、情报机构或其他政府部门留下读取数据的后门。”) 在无法得到当事公司正面回应的情况下,外界显然无法确定Sabre和Travelport两家公司是否成了美国特勤局等政府部门的“帮凶”,以及究竟有多少人“享受”过与布尔科夫一样的漫长且非同寻常的监视待遇。 美国官方对涉事公司也持维护态度。司法部公然宣称公众无权查阅根据《全令法案》发出的法令,而且“执法部门需要对此类材料进行持续性封存”。联邦法院发布的一项法庭令支持了司法部的说法,称“出于重要的政策原因”,上述法令应该“按惯例处于保密状态”。 《全令法案》适用性引争议 利用数据收集公司对个人进行监视的合法性源于1789年的《全令法案》(All Writs Act of 1789)。该法案允许政府发布“所有必要并合适的法令”,协助权力部门“出于恰当的司法目的”从实体处获得与特定调查没有直接关联的“非负担”协助并对案件进行调查。 布尔科夫案之前,《全令法案》此前数次被启用,不少大型科技公司都被官方强迫交出“有助于调查”的信息。尤其是谷歌和苹果公司,曾多次被政府要求对嫌疑人的安卓设备或苹果手机进行解锁,以协助联邦部门对犯罪案件进行调查。 2015年,FBI以《全令法案》为依据要求苹果公司解锁一部圣贝纳迪诺枪击案嫌疑人使用的手机未能成功,该法案的启动和使用遂引起外界关注。美国公民自由联盟(ACLU)将这种做法称为“不恰当的使用”,并直斥其有遭到滥用的可能。 “有太多此类法令不为公众所知,” 美国公民自由联盟监视与网络安全顾问珍妮弗・格兰尼克(Jennifer Granick)说。“借助这些公司收集的个人数据进行调查,警方无异于获得了未得到民主程序批准和监管的监视权。”格兰尼克表示,这样的结果是无法想象的——公众对执法部门在何种调查中如何使用手中的权力,以及他们调用数据是否得到批准等等几乎一无所知。所以她认为,收集与过往犯罪活动无关的未来旅行信息“(对人权和个人隐私)有很强的侵犯性,而且很可能遭到滥用”。 基于上述原因,美国公民自由联盟(ACLU)和电子前沿基金会(Electronic Frontier Foundation)的人权活动分子认为《全令法案》不应取得与搜查令和窃听令相同的合法地位,应该依法予以封存。 “征用”民用数据或不会停止 福布斯的调查结果引发舆论争议。批评者认为,政府部门借法庭令之威强迫高技术公司交出受隐私法保护的用户数据“非常过分”,利用这些民用数据进行监视活动更是对人权的秘密侵犯。 Netenrich网络活动分析公司首席威胁分析师约翰・巴姆本尼克(John Bambenek)表示,尽管自己不担心联邦政府借助合法手段获取高技术公司收集的个人隐私数据,但却担心这些海量数据获取者的身份,“担心他们滥用所获得的数据。” 部分法律人士以及其他支持者则认为这种做法值得支持用于罪案调查。 前CIA网络威胁分析师、技术情报官罗莎・斯玛则斯(Ross Smothers)以布尔科夫案为例讲解称,“审阅卷宗后,联邦法官认可了(对布尔科夫采取措施)司法正确性,并发布了授权监视活动的法令。这与流氓政府胡搞乱来地进行未获授权的数据收集行为是完全不一样的。” 尽管毁誉参半,但美国政府显然不愿意放过旅游公司掌握的海量数据。 体量巨大的Sabre、Travelport等公司对全球旅游市场影响巨大,掌握的旅客信息也了达到无法想象的规模。熟悉这两家公司业务的前高级管理人员乔・赫佐格(Joe Herzog)因而表示,从技术角度说,Sabre和Travelport两家公司应要求与政府合作并向执法部门提供数据“相对比较简单”,只需注意隐私问题即可。“我想GDS系统内大概90%的信息都是可以被外人获取的。”   转自 安全内参,原文链接:https://www.secrss.com/articles/44372 封面来源于网络,如有侵权请联系删除

卡巴斯基为 TinyCheck 设立官网,以协助全球受害者做出应对

继两年前开源跟踪侦测工具TinyCheck后,卡巴斯基上周替该公司于2019年推出的跟踪侦测工具TinyCheck设立了官网,这是个开源的免费工具,可用来检查Android、iOS或其它行动装置是否被安装了跟踪程式,以协助全球的受害者做出应对,让更多非政府组织能够接触并加以利用。 卡巴斯基解释,该公司是在2019年与法国的一家女性庇护所讨论之后打造了TinyCheck,该组织主要支持与日俱增的跟踪程式受害者,但不知道如何从技术上解决此一问题,他们需要一个无法被发现、易于使用且有助于搜集证据的解决方案,于是由卡巴斯基出手协助。 卡巴斯基的研究人员开发了免费且开源的TinyCheck工具,让任何人都可下载并改善它。TinyCheck并非是一个安装在手机上的程式,而是安装在Raspberry Pi单板电脑装置上,以非侵入式的方式来检查手机上的跟踪程式,它可透过Wi-Fi连接来检查目标手机的对外流量,并辨识与这些流量互动的已知设备,例如与跟踪程式有关的伺服器。 卡巴斯基强调,TinyCheck不会读取手机的流量内容,不管是简讯或电子邮件,但只会与手机通讯的对象互动,例如线上伺服器或IP位址,而且所有的分析都会在本地端完成,不会传送给包括卡巴斯基在内的任何第三方。 在TinyCheck问世的几年来,已有越来越多的非政府组织采用了TinyCheck,最近该工具更受到欧盟组织、记者与企业的注意,欧洲的执法机构也正在测试TinyCheck,期待它能在调查过程中进一步地支持受害者。 其实卡巴斯基在两年前便已透过GitHub分享TinyCheck。该公司表示,替TinyCheck打造一个专有的网站是为了让更多人能够接触并利用它,不过,这并不是给一般人直接使用的工具,建议受害者应寻求当地支持组织的协助。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/VKe3OUL3Zd8FJwDCPewnkw 封面来源于网络,如有侵权请联系删除

放眼后量子时代:NIST 希望新标准可防止量子计算机破解加密

针对“后量子时代”的破解加密技术,美国政府已于本周二公布了四项设计和测试标准。科学家们早就指出,随着时间的推移,先进量子计算机将对主流加密技术造成降维打击。有鉴于此,美国国家标准与技术研究院(NIST)特地对相关量子数据保护工作进行了监督。 放置谷歌量子处理器的低温恒温器 在 NIST 选择的四项技术中,预计有两项会发挥更广泛的作用。首先是 Crystals-Kyber,其旨在构建于两台计算机之间共享加密数据所需的密钥。 其次是 Crystals-Dilithium,其用于签署加密数据,以确定到底是谁发出的数据。不过我们可能需要等待两年时间,才会等到相关标准化技术融入当今的软硬件平台。 需要指出的是,上述两项和 Falcon 都是基于格的算法(lattice-based algorithm),同时 NSA 有打算过渡到此类加密解决方案。 至于第四个 Sphince+ 选项,其被认为是不基于格的最强大的数字签名解决方案。 作为攻击用的‘矛与盾’,量子计算机仍需经历多年的稳步发展,才可创造出足够强大且可靠的机器来破解加密。 但无论怎样,比之亡羊补牢,提前制定的加密防御策略,总归是更加稳妥的路线。 毕竟寻找新的加密方法、确保其安全性并推广开来,往往需要数年的时间。 另一方面,即使当前的加密数据尚未得到破解,黑客仍可现保留当下收集到的敏感信息,并寄希望于在未来某个时刻破解仍有价值的部分。 量子计算机软硬件制造商 Quantinuum 的网络安全负责人 Duncan Jones 表示: 业界普遍认为需要预备 10-15 年的时间尺度来抵御攻击,但由于‘先到手、后解密’的可能性的存在,相关攻击或早已在秘密谋划中。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1289073.htm 封面来源于网络,如有侵权请联系删除

荷兰警方为马斯特里赫特大学追回勒索软件赎金 三年后竟还升值了

尽管马斯特里赫特大学在 2019 年遭受了勒索软件攻击,但随着部分 BTC 赎金的退还,身为受害者的该校竟然也受益于这三年的加密货币价格上涨。外媒报道称,三年前的攻击导致该校学生无法访问有价值的数据,直到他们被迫支付 20 万欧元的赎金。 (来自:Maastricht University) 荷兰《人民报》(De Volkskrant)报道称,犯罪分子加密了数百台 Windows 服务器和备份系统,导致 2.5 万名学生和员工无法访问科学数据、图书馆和电子邮件。 为避免个人数据丢失风险(学生无法参加考试或撰写论文),该校被迫于一周后向勒索软件攻击者支付了一笔赎金。 好消息是,作为网络攻击事件调查的一部分,荷兰警方追溯到了某个乌克兰洗钱者的账户,里面有价值约 40000 欧元的 BTC 。 据悉,检察官在 2020 年罚没了该账户,并在其中找到了诸多不同的加密代币。 两年后,当局将部分赎金返还给了马斯特里赫特大学。 与此同时,该账户持有的 BTC 价值,也从三年前的 4 万欧元、增加到了 50 万欧元。 对于这笔“失而复得”的意外之财,该校 ICT 主任 Michiel Borgers 表示,他们会将之用于帮扶经济拮据的学生,而不是纳入其它基金。 最后,荷兰《人民报》称有关这轮勒索软件攻击的调查仍在持续,警方正在对幕后的主要负责人展开追查。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1288391.htm 封面来源于网络,如有侵权请联系删除

Debian GNU/Linux 9 已结束长期支持 官方建议升级至新版本

Debian 长期支持(LTS)团队近日宣布 —— 五年前(2017 年 6 月 17 日)开启的 Debian GNU / Linux 9“Stretch”操作系统系列,终于结束了它的支持周期(End of Life)。当时官方将该版本的 LTS 支持延长到了五年,以供有特定需要的人们使用。 (via 9to5Linux) 但从 2022 年 7 月 1 日起,Debian 项目团队将不再为旧 LTS 版本提供后续的安全更新。团队将于 8 月接管安全支持,且 buster 的最后一次更新会在本月划上句号。 Emilio Pozuelo Monfort 在邮件公告列表中称,2019 年 7 月 6 日发布的 GNU / Linux 10“Buster”系列,是目前受支持的旧稳定版本(oldstable)。 Debian LTS 团队仍会为 Buster 提供两年维护支持(直到 2024 年 6 月 30 日),且长期支持的规划会在稍后公布。 但若没有必须停留在旧版本的特殊需求,还是建议大家升级到最新的 Debian GNU / Linux 11“Bullseys”系列。 最后,如果想在 Debian 9 EoL 后继续使用,不妨考虑 Freexian 等提供长达 10 年延长支持的商业产品。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1288633.htm 封面来源于网络,如有侵权请联系删除

在防勒索软件方面 Microsoft Defender 以满分通过 AV-TEST 测试

在保护用户安全方面,Microsoft Defender 的表现一直非常出色。它提供了简单、免费的解决方案,但没有很多华而不实的功能。在 AV-TEST 在最近的一次评估中给它满分之后,这款防病毒软件又获得了一个新的评价。 如果给威胁互联网的恶意软件种类排个名次,勒索软件无疑会排在前列。正如 Neowin 所发现的,AV-TEST 最近为 Microsoft Defender 提供了勒索软件保护的最高分。 根据 AV-TEST 勒索软件防御报告,所有产品都必须在 Windows 10 下的 10 个真实场景中成功防御勒索软件。测试涉及的威胁包括存档中包含隐藏恶意软件的文件、带有脚本的 PowerPoint 文件或带有恶意内容的 HTML 文件。 在这些测试中,Microsoft Defender 获得了 40 分,这是防病毒软件所能获得的最高分。自然,它也不是唯一获得满分的选手,Avast 到 Kaspersky 的绝大多数反病毒程序都以 40 分通过。 这份报告肯定会给 Windows 用户一些令人放心的消息。内置的 Windows 防病毒软件不仅有足够的能力阻止勒索软件攻击,重要的是免费且集成到系统中。我们很有可能最终会达到一个状态,即在安全方面,您选择哪种防病毒软件并不重要。相反,只需选择最适合您个人需求的最佳 Windows 防病毒软件,并享受它提供的出色保护。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1288539.htm 封面来源于网络,如有侵权请联系删除

欧盟举办超大规模网络安全演习:医疗基础设施遭全链条打击

来自欧洲各地的网络安全专家,刚刚完成了迄今为止全球规模最大的网络危机模拟之一。 在Cyber Europe 2022上,来自欧盟29个国家、欧洲自由贸易区(EFTA)以及欧盟各机构与部门的800多名网络安全专家齐聚一堂。 今年的演习场景,涉及对欧洲医疗基础设施的模拟攻击。 场景升级 第一天演习内容包括篡改实验室结果等虚假宣传活动,以及对欧洲医院网络发动攻击。 第二天演习的安全事件进一步升级为欧盟范围内。有攻击者威胁将发布个人医疗数据,而另一个团伙则在网上散布植入式医疗设备存在漏洞的谣言。 此次演习测试了各参与方的事件响应能力,以及欧盟各机构与欧洲计算机应急响应小组(CERT-EU)、欧盟网络与信息安全局(ENISA)合作提高态势感知能力的成效。此次演习中吸取的经验教训,将在ENISA发布的事后报告中正式公布。 ENISA执行理事Juhan Lepassaar在一份新闻稿中表示,“为了保护我们的卫生服务与基础设施,并最终保护全体欧盟公民的健康权益,加强网络安全弹性将是唯一可行的道路。” Cyber Europe演习通常每两年举办一次。但由于COVID-19疫情的突然爆发,2020年演习未能如期举行。 Red Goat Cyber Security合伙人、网络危机演习专家Lisa Forte表示,“这些演习对于评估和发展网络安全弹性起到了至关重要的作用。” “Cyber Europe演习表现良好,也让我们看到了欧盟整体要如何应对大规模网络攻击。根据我个人的演习经验,战略与战术团队在沟通层面永远存在可以改进的空间。通常,演习会暴露出所制定计划中的缺陷。如果不解决这些缺陷,那么无论在纸面上看起来何等完善的计划,都无法在高压力场景下发挥作用。”   转自 安全内参,原文链接:https://www.secrss.com/articles/44303 封面来源于网络,如有侵权请联系删除

Chrome 被爆严重零日漏洞,谷歌督促用户尽快更新

近期,谷歌发布公告,称已经为Windows用户发布了Chrome 103.0.5060.114更新,以解决在野被攻击者利用的高严重性零日漏洞,这也是2022年谷歌修补的第四个 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范围内的Stable Desktop频道推出,谷歌表示它需要几天或几周的时间才能触达整个用户群。 按照提示,BleepingComputer进入Chrome 菜单>帮助>关于 Google Chrome 检查新更新时,发现更新立即可用。同时Web浏览器还将自动检查新更新并在下次启动后自动安装它们。 上周五,Avast威胁情报团队的Jan Vojtesek报告说,近期修复的零日漏洞(编号为CVE – 222 -2294)是WebRTC (Web实时通信)组件中一个严重的基于堆的缓冲区溢出漏洞。 尽管谷歌表示这个零日漏洞在野被利用,但该公司尚未分享技术细节或有关这些事件的任何信息。谷歌表示:“在大多数用户更新修复之前,对错误详细信息和链接的访问可能会受到限制。如果漏洞存在于第三方中,在尚未修复之前,我们也会保留限制。”由于有关攻击的详细信息延迟发布,Chrome用户有足够的时间来更新和防止利用尝试,直到 Google 提供更多详细信息。 通过此次更新,谷歌解决了自年初以来的第四次 Chrome 零日问题,而在这之前发现并修补的前三个零日漏洞分别是: CVE-2022-1364  – 4 月 14 日 CVE-2022-1096  – 3 月 25 日 CVE-2022-0609  – 2 月 14 日 根据谷歌威胁分析组 (TAG)的说法,2月份修复的CVE-2022-0609在2月补丁发布前几周被朝鲜支持的国家黑客利用,最早的在野漏洞利用是在今年1月4日发现的。它被两个朝鲜资助的威胁组织所利用,并通过网络钓鱼邮件、使用虚假的工作诱饵和提供隐藏iframes服务的网站来传播恶意软件。最后,对于此次漏洞,谷歌方面建议用户尽快安装最新的谷歌浏览器更新。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/338299.html 封面来源于网络,如有侵权请联系删除