近日，Juniper Networks被曝存在一个极其严重的“身份验证”漏洞，对Session Smart 路由器（SSR）、Session Smart Conductor和WAN Assurance 路由器等产品造成比较明显的影响。目前，Juniper已紧急发布了相应的漏洞补丁，用户可及时进行系统更新。 该漏洞编号为CVE-2024-2973，攻击者可利用该漏洞完全控制设备。简单来说，JuniperSession Smart 路由器、Session Smart Conductor在运行冗余对等设备时，存在使用替代路径或通道绕过身份验证的漏洞，从而使得攻击者可以有效绕过身份验证，并对设备具有高控制度。 Juniper Networks进一步指出，只有在高可用性冗余配置中运行的Router或Conductor才会受到该漏洞的影响。 事实上，大多数企业为了保证服务或业务的连续性，网络管理员往往都会应用 “高可用性冗余配置”，以此提升不间断服务或者对恶意事件的抵抗能力。这也意味着，易受攻击的配置在关键任务网络基础设施中相当常见，包括大型企业环境、数据中心、电信、电子商务以及政府或公共服务。 受 该漏洞（CVE-2024-2973 ）影响的产品版本包括： 1、Session Smart 路由器 5.6.15 之前的所有版本 从 6.0 到 6.1.9-lts 之前的所有版本 从 6.2 起，6.2.5-sts 之前的所有版本 2、WAN Assurance 路由器 6.1.9-lts 之前的 6.0 版本 6.2.5-sts 之前的 6.2 版本 Session Smart 路由器在 5.6.15、6.1.9-lts 和 6.2.5-sts 版本中提供了安全更新。 WAN Assurance路由器在连接到Mist Cloud时会自动打上补丁，但High-Availability集群的管理员需要升级到SSR-6.1.9或SSR-6.2.5。 Juniper Networks指出，升级 Conductor 节点足以将修复程序自动应用到连接的路由器上，但路由器仍应升级到最新可用版本。应用漏洞修复程序不会中断生产流量，对基于 Web 的管理和 API 的停机时间影响极小，约为30秒。 注意，该漏洞没有其他变通方法，建议采取的行动仅限于应用可用的修复程序。 由于瞻博网络产品部署在关键和有价值的环境中，因此成为黑客攻击的目标。2023年，Juniper Networks  EX 交换机和 SRX 防火墙涉及四个漏洞组成的攻击链，且在供应商发布相关公告后不到一周就观察到了恶意活动。 几个月后，CISA 对上述漏洞的主动利用发出警告，并敦促联邦机构和关键组织在四天内应用安全更新，足以体现CISA的急迫性和漏洞的危害性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除

DARKReading 网站消息，一个严重的 GitLab 漏洞可能允许攻击者以另一个用户的身份运行管道，该公司正敦促运行易受攻击版本的用户立即修补该漏洞，以避免 CI/CD 失常。 GitLab 是仅次于 GitHub 的流行 Git 存储库，拥有数百万活跃用户。上周，它发布了社区版（开源）和企业版的新版本。 更新包括对 14 个不同安全问题的修复，包括跨站请求伪造（CSRF）、跨站脚本（XSS）、拒绝服务（DoS）等。根据通用漏洞评分系统 (CVSS)，其中一个问题的严重程度较低，九个问题的严重程度中等，三个问题的严重程度较高，但有一个关键漏洞的 CVSS 得分为 9.6（满分 10 分）。 CVE-2024-5655 对代码开发构成严重威胁 据该公司称，CVE-2024-5655 这个关键漏洞影响的 GitLab 版本从 15.8 到 16.11.5，从 17.0 到 17.0.3，以及从 17.1 到 17.1.1。该漏洞允许攻击者以另一个用户的身份触发管道，但仅限于 GitLab 没有详细说明的情况（GitLab 也没有提供有关该漏洞的任何其他信息）。 在 GitLab 中，管道可以自动完成构建、测试和部署代码的过程。从理论上讲，攻击者如果有能力以其他用户的身份运行管道，就可以访问他们的私有存储库，并操作、窃取或外泄其中包含的敏感代码和数据。 与 CVE-2023-7028 不同，GitLab 到目前为止还没有发现 CVE-2024-5655 漏洞在野外被利用的证据，而 CVE-2023-7028 在今年春天早些时候已经被利用。不过，这种情况可能很快就会改变。 合规问题，不仅仅是安全问题 像 CVE-2024-5655 这样根植于开发过程中的问题，有时会带来的困扰远不止于它们在文档上所呈现的简单风险。 Synopsys Software Integrity Group 首席副顾问 Jamie Boote 说：”在最坏的情况下，这个漏洞甚至不需要被利用就会给公司造成收入损失。”一个软件或软件驱动的产品是使用一个易受攻击的 GitLab 版本构建的，这一事实本身就可能引起关注。 像这样的管道漏洞不仅会带来安全风险，还会带来监管和合规风险。Jamie Boote 解释说：”由于美国公司正在努力满足向美国政府销售软件和产品所需的自检表要求，如果不解决这个漏洞，可能会导致合规性漏洞，从而使销售和合同面临风险。”他特别提到了美国商务部《安全软件开发证明表说明》第三部分的第 1c 行，其中要求 “在开发和构建软件的相关环境中执行多因素身份验证和有条件访问，以最大限度地降低安全风险”。 Jamie Boote 表示，不解决这一漏洞的公司将很难符合第 1c 项的要求，因为攻击者可以利用漏洞绕过公司为符合要求而依赖的条件访问控制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404873.html 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky 涉嫌使用新的恶意 Google Chrome 扩展程序，该扩展程序旨在窃取敏感信息，作为正在进行的情报收集工作的一部分。 Zscaler ThreatLabz于 2024 年 3 月初观察到了该活动，并将该扩展程序命名为 TRANSLATEXT，突出显示其收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图的能力。 据称，此次攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。 Kimsuky 是朝鲜一个臭名昭著的黑客组织，据了解，该组织至少自 2012 年以来一直活跃，策划针对韩国实体的网络间谍活动和出于经济动机的攻击。 Kimsuky 是 Lazarus 集群的组织之一，也是侦察总局 (RGB) 的一部分，也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima。 最近几周，该组织利用Microsoft Office 中已知的安全漏洞 (CVE-2017-11882) 来分发键盘记录器，并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵，目的是投放具有数据收集和二次有效载荷执行功能的间谍工具。 网络安全公司 CyberArmor表示：“这个后门似乎之前没有公开记录过，它允许攻击者执行基本的侦察并投放额外的有效载荷来接管或远程控制机器。”该公司将这次活动命名为 Niki。 虽然已知该组织利用鱼叉式网络钓鱼和社会工程攻击来激活感染链，但目前尚不清楚与新发现的活动相关的初始访问的具体模式。 攻击的起点是一个据称涉及韩国军事历史的 ZIP 档案，其中包含两个文件：一个 Hangul 文字处理器文档和一个可执行文件。 感染链示例 启动可执行文件会导致从攻击者控制的服务器检索 PowerShell 脚本，进而将有关受感染受害者的信息导出到 GitHub 存储库，并通过 Windows 快捷方式 (LNK) 文件下载其他 PowerShell 代码。 Zscaler 表示，它发现了一个于 2024 年 2 月 13 日创建的GitHub 帐户，该帐户短暂地以“GoogleTranslate.crx”的名义托管了 TRANSLATEXT 扩展程序，尽管目前尚不清楚其交付方式。 安全研究员 Seongsu Park 表示：“这些文件于 2024 年 3 月 7 日出现在GitHub存储库中，并于第二天删除，这意味着 Kimsuky 打算尽量减少暴露，并在短时间内使用该恶意软件来针对特定个人。” TRANSLATEXT 伪装成 Google 翻译，它整合了 JavaScript 代码以绕过 Google、Kakao 和 Naver 等服务的安全措施；窃取电子邮件地址、凭证和 cookie；捕获浏览器截图；并窃取被盗数据。 它还可以从 Blogger Blogspot URL 获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有 cookie 等。 Kimsuky TRANSLATEXT架构 Park 说：“Kimsuky 集团的主要目标之一是监视学术人员和政府人员，以收集有价值的情报。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mpOHUGObQ2mdolrKIb6yWQ 封面来源于网络，如有侵权请联系删除

黑客正在利用影响所有 D-Link DIR-859 WiFi 路由器的严重漏洞来从设备收集帐户信息，包括密码。 该安全问题于一月份披露，目前编号为CVE-2024-0769  （严重程度评分为 9.8），这是一个导致信息泄露的路径遍历漏洞。 尽管 D-Link DIR-859 WiFi路由器型号已到达使用寿命（EoL）并且不再接收任何更新，但该供应商仍然发布了安全公告 ，解释称该漏洞存在于设备的“fatlady.php”文件中，影响所有固件版本，并允许攻击者泄露会话数据，实现权限提升，并通过管理面板获得完全控制权。 D-Link 预计不会发布针对 CVE-2024-0769 的修复补丁，因此该设备的所有者应尽快切换到受支持的设备。 检测到的利用活动 威胁监控平台 GreyNoise 观察到，在依赖于公开漏洞的细微变种的攻击中，CVE-2024-0769 遭到积极利用。 研究人员解释说，黑客的目标是“DEVICE.ACCOUNT.xml”文件，以转储设备上的所有帐户名、密码、用户组和用户描述。 检索到的配置文件内容，来源：GreyNoise 该攻击利用对“/hedwig.cgi”的恶意 POST 请求，利用 CVE-2024-0769 通过“fatlady.php”文件访问敏感配置文件（“getcfg”），该文件可能包含用户凭据。 恶意 POST 请求，来源：GreyNoise GreyNoise 尚未确定攻击者的动机，但针对用户密码的攻击表明其意图进行设备接管，从而使攻击者完全控制设备。 研究人员解释说：“目前尚不清楚这些披露信息的预期用途是什么，需要注意的是，这些设备永远不会收到补丁。只要设备一直面向互联网，从设备中泄露的任何信息在设备的整个生命周期内都将对攻击者有价值。” GreyNoise 指出，当前攻击所依赖的公开概念验证漏洞针对的是“DHCPS6.BRIDGE-1.xml”文件，而不是“DEVICE.ACCOUNT.xml”，因此它可以用于攻击其他配置文件，包括： ACL.xml.php ROUTE.STATIC.xml.php INET.WAN-1.xml.php WIFI.WLAN-1.xml.php 这些文件可能会暴露访问控制列表 (ACL)、NAT、防火墙设置、设备帐户和诊断的配置，因此防御者应该意识到它们是潜在的利用目标。 GreyNoise 提供了可在利用 CVE-2024-0769 的攻击中调用的文件的更大列表。如果发生其他变体，这应该可以为防御者提供帮助。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/p-urHN8ueAHAZ4wpcvWyLg 封面来源于网络，如有侵权请联系删除

无线服务提供商优先考虑正常运行时间和延迟时间，有时以牺牲安全性为代价，允许攻击者利用这一漏洞窃取数据，甚至更糟。 由于 5G 技术存在漏洞，移动设备面临着数据被肆意窃取和拒绝服务的风险。 在即将于拉斯维加斯举行的「黑帽 2024」大会上，宾夕法尼亚州立大学的一个七人研究小组将介绍黑客如何通过提供互联网连接来窃听互联网流量。这就意味着，间谍活动、网络钓鱼以及更多其他活动都将成为可能。 研究人员表示，这是一种非常容易受到攻击的方式，涉及到通常被忽视的漏洞和几百美元就能在网上买到的设备。 步骤一：设置假基站 当设备首次尝试与移动网络基站连接时，两者要进行身份验证和密钥协议（AKA）。设备发送注册请求，基站回复认证和安全检查请求。 虽然基站会审查手机，但手机不会审查基站，基站的合法性基本上被视为既定事实。 宾夕法尼亚州立大学研究助理赛义德-穆基特-拉希德（Syed Md Mukit Rashid）解释说：”基站每 20 分钟或 40 分钟广播一次’你好’，以此宣传它们在特定区域的存在。但这些广播消息没有经过身份验证，也没有任何安全机制。它们只是明文信息，因此，移动设备根本无法检查它是否来自伪基站。” 建立伪基站并不像看起来那么困难，只需要用树莓派（Raspberry Pi）或者更好的软件定义无线电（SDR）来模拟一个真实的基站。宾夕法尼亚州立大学的另一位研究助理 Kai Tu 指出：”模拟基站需要的工具都可以在网上买到，然后在伪基站上运行一些开源软件（OSS）就可以以假乱真。”昂贵的 SDR 可能要花费数万美元，而能完成任务的廉价 SDR 只需要几百美元。 一个小装置就能诱使你的手机远离一个已建成的商业发射塔，这似乎过于简单了。但是，利用附近的 SDR 进行有针对性的攻击，可以提供比同时为成千上万人提供服务的基站更强的 5G 信号强度。拉希德说：”从本质上讲，设备会尝试连接到最好的基站，即提供最高信号强度的基站。” 步骤二：利用漏洞 与其他安全程序一样，AKA 也可以被利用。例如，在一种流行的移动处理器中集成的 5G 调制解调器中，研究人员发现了一个处理不当的安全头，攻击者可以利用这个安全头完全绕过 AKA 进程。全球最大的两家智能手机公司生产的大部分设备都使用了这种处理器，具体不方便透露是哪两家公司。 在吸引到目标设备后，攻击者可以利用这种 AKA 绕过返回恶意制作的 “接受注册”信息，并启动连接。这样一来，攻击者就成了受害者的互联网服务提供商，能够以未加密的形式看到受害者在网上的一切行为。他们还可以通过发送鱼叉式网络钓鱼短信或将受害者重定向到恶意网站等方式与受害者互动。 虽然 AKA 绕过漏洞已经很严重了，但研究人员还发现了其他漏洞，允许攻击者确定设备的位置，并执行拒绝服务（DoS）。 如何确保 5G 安全 宾夕法尼亚州立大学的研究人员已经向各自的移动供应商报告了他们发现的所有漏洞，这些供应商都已经部署了补丁。 不过，更持久的解决方案必须从确保 5G 身份验证的安全开始。正如拉希德所说：”如果要确保这些广播信息的真实性，就需要使用公钥（基础设施）加密（PKI）。而部署 PKI 的成本很高，需要更新所有的基站。”此外，还有一些非技术方面的挑战，比如谁将是公钥的根证书颁发机构等等…… 这种大改不太可能在短期内发生，因为 5G 系统是在知道以上情况的情况下建立的，以纯文本形式传输信息是出于特殊原因。 “这是一个激励机制问题。信息是以毫秒为单位发送的，因此如果采用某种加密机制，就会增加基站和用户设备的计算开销。”拉希德解释说，计算开销也与时间有关，因此从性能上来说会慢一些。 拉希德表示，性能方面的激励要大于安全方面的激励。但无论是通过假基站、Stingray 设备还是其他手段，攻击者发起攻击都利用了基站的初始广播信息缺乏验证这一特点，这是万恶之源。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404737.html 封面来源于网络，如有侵权请联系删除

据彭博新闻社首次报道，微软于周四表示，一个由 Kremlin 支持的黑客组织对今年 1 月发生的公司内部系统入侵事件负责，该组织获取的客户电子邮件数量超过了最初披露的数量。 微软发言人告诉彭博新闻社，公司目前正在向更多的客户发送通知，提醒客户的电子邮件已被俄罗斯民族国家黑客组织 Midnight Blizzard 读取，同时此前已被通知的客户将获取泄露信件类型的详细信息。 微软在 1 月 19 日提交给美国证券交易委员会的文件中首次披露了Midnight Blizzard的漏洞。该公司发现黑客从高层领导团队及网络安全和法律部门员工处获取被盗邮件，并试图使用被盗凭证联系微软客户。在发现美国政府的 Azure 客户也是被攻击的目标后，美国网络安全和安全基础设施局于4月向联邦机构发出了紧急指令。 CISA 此前没有透露该美国政府机构的名称及政府机构电子邮件被泄露的情况。但微软曾表示，黑客早在几个月前就利用一种名为 password spraying 的技术入侵了其公司系统。 Midnight Blizzard 在安全领域又被称为 “俄罗斯国家支持的黑客 “Nobelium” 、“APT29” 或 “Cozy Bear”，该组织还对2020年肆虐美国政府设施的SolarWinds黑客事件负有责任。 去年2月，根据黑莓公司的研究，这一国家支持的黑客组织是针对援助乌克兰的欧盟政府机构进行网络钓鱼活动的幕后黑手。 微软目前没有透露究竟是哪些企业客户受到了这一漏洞的影响。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

最近，一个安全警报震动了信息安全行业： 一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的（UAF）零日漏洞。该漏洞允许低权限用户执行高权限代码，对受影响系统构成严重威胁。 漏洞详情 漏洞利用者指出该漏洞影响 6.6.15 – amd64 版本的 Linux 内核。UAF 发生时，先前释放的内存随后可能被重新使用，允许攻击者以高权限(本地特权升级)执行任意代码，绕过操作系统的标准安全措施。 支付方法 在帖子中，漏洞利用者称 “出售影响 Linux 内核的零日漏洞，你可以用它来执行特权代码（LPE本地特权升级，或以 root 权限执行代码）、窃取数据……”。漏洞售价固定为 15 万美元，只允许通过 Monero (XMR) 或 Bitcoin (BTC) 加密货币进行支付。选择使用加密货币是为了确保交易的匿名性。 中间人 这笔交易的中间人是众所周知的恶意行为者 IntelBroker。尽管交易是匿名进行的，但使用受信任的中间人可确保相关各方的信任和透明度，买家更容易付款。 安全考虑 零日市场对全球范围内的网络安全构成了重大威胁。系统管理员和信息安全从业人员需要时刻保持警惕，一旦威胁行为者可以访问这些网站，就应立即打上安全补丁。安全界必须通力合作，尽快识别并减轻此类威胁。 结论 这个 Linux 内核零日漏洞的发现再次凸显了计算机安全的重要性以及警惕新出现危险的必要性。技术界必须继续投资响应性安全措施，以保护系统和敏感数据免受日益复杂的攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404615.html 封面来源于网络，如有侵权请联系删除

近日，苹果公司发布了 AirPods 的固件更新，但此版本固件曝出了一个严重漏洞，被追踪为 CVE-2024-27867，可能允许恶意行为者以未经授权的方式访问耳机。 该漏洞影响 AirPods第二代及更高版本、AirPods Pro所有型号、AirPods Max、Powerbeats Pro 和 Beats Fit Pro。 本周二（7月25日），苹果公司发布公告称：当你的耳机正在寻求配对设备的连接请求时，蓝牙范围内的攻击者可能会欺骗预期的源设备，并获得你耳机的访问权限。物理距离很近的攻击者可以利用这个漏洞窃听私人对话。 Jonas Dreßler 最早发现并立刻报告了该漏洞。对此苹果公司表示，该漏洞现已通过改进状态管理得到解决。该漏洞在 AirPods 固件更新 6A326、AirPods 固件更新 6F8 和 Beats 固件更新 6F8 的一部分得到修补。 两周前，iPhone 制造商推出了 visionOS（1.2 版）更新，共修复了 21 个缺陷，包括 WebKit 浏览器引擎中的 7 个缺陷。 其中涉及到一个逻辑漏洞，被追踪为CVE-2024-27812，用户在使用设备处理网页内容时可能导致拒绝服务（DoS）。该公司表示，该漏洞已通过改进文件处理得到修复。 安全研究员 Ryan Pickren 报告了这一漏洞，并将其描述为 “世界上第一个空间计算黑客”，其可以绕过所有警告，在没有用户交互的情况下，用任意数量的 3D 动画对象强行填满你的房间”。 该漏洞利用了苹果公司在使用 ARKit 快速查看功能时未应用权限模型的漏洞，在受害者的房间里生成 3D 物体。更糟糕的是，这些动画对象在退出 Safari 后仍会继续存在，因为它们是由一个单独的应用程序处理的。 对此，Pickren 表示：它甚至不需要人类’点击’这个标签就可以实现上述的情景。因此，JavaScript 的程序化点击（即 document.querySelector(‘a’).click()）是没有问题的。这意味着我们可以在不与用户进行任何交互的情况下，启动任意数量的三维动画声音对象。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404605.html 封面来源于网络，如有侵权请联系删除

最近披露的一个影响 Progress Software MOVEit Transfer 的严重安全漏洞，在漏洞细节被公开披露后数小时就出现广泛的攻击利用。 该漏洞编号为 CVE-2024-5806（CVSS 评分：9.1），涉及身份验证绕过，影响以下版本： 从 2023.0.0 到 2023.0.11 从 2023.1.0 到 2023.1.6 之间，以及 从 2024.0.0 到 2024.0.2 该公司在周二发布的安全公告中表示：“Progress MOVEit Transfer（SFTP 模块）中不当的身份验证漏洞可能导致身份验证绕过。” Progress 还解决了另一个影响 MOVEit Gateway 版本 2024.0.0 的严重 SFTP 相关身份验证绕过漏洞 (CVE-2024-5805，CVSS 评分：9.1)。 成功利用这些漏洞可以让攻击者绕过 SFTP 身份验证并获得 MOVEit Transfer 和 Gateway 系统的访问权限。 此后，watchTowr Labs 发布了有关 CVE-2024-5806 的更多技术细节，安全研究人员 Aliz Hammond 和 Sina Kheirkhah 指出，它可以被武器化以冒充服务器上的任何用户。 该网络安全公司进一步描述该漏洞由两个独立的漏洞组成，一个在 Progress MOVEit 中，另一个在 IPWorks SSH 库中。 研究人员表示：“虽然更具破坏性的漏洞（即冒充任意用户的能力）是 MOVEit 独有的，但影响较小的（但仍然非常真实）强制身份验证漏洞可能会影响所有使用 IPWorks SSH 服务器的应用程序。” Progress Software 表示，如果不及时修补，第三方组件的缺陷将“增加原始问题的风险”，并敦促客户遵循以下两个步骤： 阻止对 MOVEit Transfer 服务器的公共入站 RDP 访问 将出站访问限制为仅来自 MOVEit Transfer 服务器的已知可信端点 据 Rapid7 称，利用 CVE-2024-5806 有三个先决条件：攻击者需要知道现有的用户名、目标帐户可以进行远程身份验证，并且 SFTP 服务可通过互联网公开访问。 截至 6 月 25 日，Censys 收集的数据显示，在线 MOVEit Transfer 实例约有 2,700 个，其中大部分位于美国、英国、德国、荷兰、加拿大、瑞士、澳大利亚、法国、爱尔兰和丹麦。 由于 MOVEit Transfer 中的另一个严重漏洞（ CVE-2023-34362，CVSS 评分：9.8）在去年引发一系列 Cl0p 勒索软件攻击。 此前，美国网络安全和基础设施安全局 (CISA) 透露，今年 1 月初，一个未知攻击者利用Ivanti Connect Secure (ICS) 设备中的安全漏洞(CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893) 攻击了其化学安全评估工具 (CSAT)。 该机构表示：“此次入侵可能导致对 Top-Screen 调查、安全漏洞评估、站点安全计划、人员保障计划 (PSP) 提交和 CSAT 用户帐户的潜在未经授权的访问”，并补充说没有发现数据泄露的证据。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IuF8f21eYg1_FPi69U4YWg 封面来源于网络，如有侵权请联系删除

Chrome Web Store 上的恶意扩展程序问题到底有多严重？这取决于你相信谁。 谷歌方面表示，所有安装中只有不到 1% 包含恶意软件。但一组大学研究人员声称，在三年内有 2.8 亿人安装了受恶意软件感染的 Chrome 扩展程序。 谷歌上周表示，到 2024 年， Chrome Web Store上安装的所有扩展程序中，只有不到 1% 被发现包含恶意软件，目前该应用商店包含超过 25 万个扩展程序。 该公司补充说，虽然它对自己的安全记录感到自豪，但一些不良扩展程序仍然会通过，这就是为什么它还会监控已发布的扩展程序。“与任何软件一样，扩展程序也可能带来风险。” 斯坦福大学和 CISPA 亥姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 对这些数字给出了精确的估计。 据一份研究报告显示，三人对 Chrome 商店的安全重点扩展程序 (SNE) 进行了检查。SNE 是指包含恶意软件、违反 Chrome 网上商店政策或包含易受攻击代码的扩展程序。 研究发现，在 2020 年 7 月至 2023 年 2 月期间，有 3.46 亿用户安装了 SNE。其中 6300 万个违反政策，300 万个易受攻击，而这些 Chrome 扩展程序中有 2.8 亿个包含恶意软件。当时，Chrome 网上应用店中有近 125,000 个扩展程序可用。 研究人员发现，安全的 Chrome 扩展程序通常不会在商店中停留很长时间，一年后只有 51.8 – 62.9% 的扩展程序仍可用。另一方面，SNE 平均在商店中停留 380 天（恶意软件），如果包含易受攻击的代码，则停留 1,248 天。 存活时间最长的 SNE 名为 TeleApp，已存在 8.5 年，最后一次更新是在 2013 年 12 月 13 日，并于 2022 年 6 月 14 日被发现包含恶意软件，随后被删除。 我们经常被建议检查用户评级来确定应用程序或扩展程序是否是恶意的，但研究人员发现，这对于 SNE 的情况没有帮助。 “总体而言，用户不会给 SNE 打低分，这表明用户可能没有意识到此类扩展程序很危险。”作者写道。“当然，机器人也有可能给这些扩展程序打出虚假评论和高分。然而，考虑到一半的 SNE 都没有评论，似乎在这种情况下使用虚假评论并不普遍。” 谷歌表示，专门的安全团队会为用户提供他们安装的扩展程序的个性化摘要，在扩展程序发布到商店之前对其进行审查，并在发布后持续监控它们。研究人员建议谷歌还监控扩展程序的代码相似性。 报告指出：“例如，大约有 1,000 个扩展使用开源 Extensionizr 项目，其中 65% 到 80% 仍在使用六年前最初随该工具打包的默认和易受攻击的库版本。”他们还指出，由于缺乏维护，扩展在漏洞披露后很长时间仍留在商店中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2ZNw6pZsmEwuSg_4311Ucg 封面来源于网络，如有侵权请联系删除