谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码
据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型混淆漏洞。 攻击者可能利用此漏洞在受影响的系统上执行远程代码,从而导致系统受损和数据盗窃。 谷歌已在其最新的 Chrome 更新中迅速解决了该问题,包括适用于 Windows 和 Mac 的 131.0.6778.108/.109版本 ,以及适用于 Linux 的 131.0.6778.108版本。这些更新将在未来几天至几周内推出。 虽然谷歌没有提供利用这一漏洞进行攻击的具体细节,但该公司通常会限制此类信息,直到大多数用户更新了浏览器以降低潜在风险。 Chrome 浏览器的安全团队强调了他们正在进行的内部安全工作的重要性,通过审计、模糊处理和其他措施,他们已经修复了各种问题。 而该漏洞的发现者“gal1ium”和“chluo”因此获得了8000美元奖金,他们于2024 年 11 月 14 日对这一问题进行了报告。根据今年谷歌新发布的Chrome 漏洞赏金计划,新的奖励机制将发现重大漏洞的最高奖金提高到了25万美元,相比之前最高4万美元有了大幅提升。 谷歌Chrome 今年已修复了10个零日漏洞 截至今年8月26日,谷歌Chrome 已经修复了今年的第10个零日漏洞。这些漏洞包括: CVE-2024-0519:Chrome 浏览器 V8 JavaScript 引擎存在一个严重的越界内存访问漏洞,允许远程攻击者通过特制的 HTML 页面利用堆破坏,导致未经授权访问敏感信息。 CVE-2024-2887:WebAssembly (Wasm) 标准中的高严重性类型混乱漏洞。该漏洞可导致利用伪造的 HTML 页面进行远程代码执行 (RCE) 的漏洞。 CVE-2024-2886:网络应用程序用于编码和解码音频和视频的 WebCodecs API 存在使用后即释放漏洞。 CVE-2024-4671:在处理浏览器中内容的呈现和显示的 Visuals 组件中存在一个高严重性的 use-after-free 缺陷。 CVE-2024-3159:Chrome V8 JavaScript 引擎中的越界读取导致的高严重性漏洞。 CVE-2024-4761:Chrome 浏览器的 V8 JavaScript 引擎中存在越界写入问题,该引擎负责在应用程序中执行 JS 代码。 CVE-2024-4947:Chrome V8 JavaScript 引擎中的类型混乱,可安装任意代码。 CVE-2024-5274:Chrome 浏览器 V8 JavaScript 引擎的一种混乱,可能导致崩溃、数据损坏或任意代码执行。 CVE-2024-7965:Chrome V8 JavaScript 引擎中的一个不恰当实现,可让远程攻击者通过制作 HTML 页面造成堆内存损坏。 CVE-2024-7971:Chrome V8 JavaScript 引擎中存在类型混乱,可让远程攻击者通过制作 HTML 页面造成堆内存损坏。 转自Freebuf,原文链接:https://www.freebuf.com/news/416908.html 封面来源于网络,如有侵权请联系删除
有黑客在 Edge 浏览器“My Feed”页面投放技术诈骗广告
微软部署了多项措施以增强 Windows 11 系统的安全,并为 Edge 浏览器引入了诸如“Enhanced Security”等安全功能。不过近日反病毒解决方案提供商 Malwarebytes 发现了一个恶意活动,通过在 Edge 浏览器中“My Feed” 区域植入恶意广告来实现科技支持诈骗。 上图是恶意广告活动的屏幕截图,其中显示了一个虚假的浏览器储物柜页面以欺骗潜在的受害者。下图显示了解释活动如何运作的步骤。该广告软件的运行方式很聪明,因为 Malwarebytes 发现恶意广告横幅仅将潜在目标重定向到技术支持诈骗页面。 同时,机器人、VPN 和地理位置会显示在由 Taboola 广告网络提供支持的实际广告页面中。该公司指出,差异化是在 base64 编码的 JavaScript 字符串的帮助下实现的。 在短短 24 小时内,Malwarebytes 设法收集了 200 多个不同的主机名。其中一个相关域与一个似乎是在印度德里运营的软件公司的主管的个人相关联。您可以在 Malwarebytes 关于该主题的博客文章中找到有关此恶意广告活动的更多详细信息。 转自 CnBeta,原文链接:https://www.cnbeta.com/articles/tech/1316813.htm 封面来源于网络,如有侵权请联系删除
今年迄今为止,恶意浏览器扩展针对 100 多万用户
Hackernews 编译,转载请注明出处: 网络安全公司卡巴斯基的最新发现显示,超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。 该公司表示:“从2020年1月到2022年6月,超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击,约占所有用户中受恶意和不需要的附加组件影响的70%。” 根据卡巴斯基的遥测数据,2022年上半年,多达1311557名用户属于这一类别。相比之下,这类用户的数量在2020年达到峰值3660236名,其次是2021年的1823263个独立用户。 最普遍的威胁是一系列称为WebSearch的广告软件,它伪装成PDF查看器和其他实用程序,并具有收集和分析搜索查询,以及将用户重定向到附属链接的功能。 WebSearch还因修改浏览器的起始页而闻名,该页面包含搜索引擎和许多指向第三方来源的链接,如AliExpress,当受害者点击这些链接时,会帮助扩展开发人员通过附属链接赚钱。 卡巴斯基指出:“此外,该扩展将浏览器的默认搜索引擎修改为search.myway[.]com,它可以捕获用户查询,收集并分析它们。根据用户搜索的内容,大多数相关的合作伙伴网站将在搜索结果中积极推广。” 第二组扩展涉及一种名为AddScript的威胁,该威胁以视频下载程序的名义隐藏其恶意功能。虽然附加组件确实提供了广告功能,但它们也旨在联系远程服务器以检索和执行任意JavaScript代码。 此外,还发现了FB Stealer等窃取信息的恶意软件,其目的是窃取登录用户的Facebook登录凭据和会话cookie。FB Stealer在2022年上半年造成了3077起独特的感染尝试。 该恶意软件主要针对搜索引擎上寻找破解软件的用户,FB Stealer通过名为NullMixer的特洛伊木马交付,该木马通过非官方破解软件安装程序传播,如SolarWinds Broadband Engineers Edition。 研究人员说:“FB Stealer是由恶意软件而不是由用户安装的,一旦添加到浏览器中,它就会模仿无害且外观标准的Chrome扩展程序Google Translate。” 这些攻击也是出于经济动机。恶意软件操作人员在获得身份验证cookie后,登录到目标的Facebook帐户,并通过更改密码来劫持该帐户,从而有效地锁定了受害者。然后,攻击者可以滥用访问权限向受害者的朋友要钱。 一个多月前,Zimperiumm披露了一个名为ABCsoup的恶意软件家族,它伪装成Google Translate扩展程序,作为针对谷歌Chrome、Opera和Mozilla Firefox浏览器俄罗斯用户的广告软件活动的一部分。 为使Web浏览器免受感染,建议用户坚持使用可信来源下载软件,检查扩展权限,并定期查看和卸载“您不再使用或无法识别”的加载项。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
为精准用户画像,恶意 npm 软件包窃取浏览器文件
据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。 这个名为 “fallguys” 的 JavaScript 库声称提供了 “Fall Guys: Ultimate Knockout” 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。 根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法,可以将消息和数据更新自动发送到服务器中的文本通道。 程序包尝试读取的五个文件分别是: /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/discord/Local\x20Storage/leveldb 前四个文件是特定于 Chrome、Opera、Yandex Browser 和 Brave 等浏览器的 LevelDB 数据库。这些文件通常存储特定于用户浏览历史记录的信息。 最后一个文件也是类似的 LevelDB 数据库,但用于 Discord Windows 客户端,该数据库类似地存储有关用户已加入的频道以及其他特定于频道的内容的信息。 令人寻味的是,该软件包并未收集存储凭据一类的更敏感信息,而似乎是在观察受感染者,评估他们经常访问的站点,再根据此来更新软件包,提供更有针对性的代码。 该软件包上架了两个星期,被下载近 300 次。目前,npm 安全团队已将此软件包删除。 相关链接 npm 的详细介绍:点击查看 npm 的下载地址:点击下载 (稿件与封面来源:开源中国)
谷歌修复 Android 版 Chrome 浏览器中的数据丢失 bug
谷歌于今日发布了面向 Android 用户的 79.0.3945.93 版 Chrome 浏览器更新,修复了困扰用户的若干问题。本周早些时候,许多安装了 Chrome 79 的 Android 用户,汇报其遇到了包括数据丢失在内的一些奇怪问题。谷歌在调查后发现,问题或与 WebView 组件中存在的一个 bug 有关。 (来自:Google Play,via Softpedia) 鉴于该组件被许多 Android 应用程序所使用,难免引发人们的忧虑。不过谷歌澄清道:数据并没有丢失、而是被隐藏,在将 Chrome 升级到最新版本后,即可重新见到。 发行说明中写到 — 修复了 WebView 中的一个问题,或导致某些用户的应用程序数据在这些 App 中不可见。 不过 App 数据实际上并非丢失,且能够在更新后重新显示,详情请参阅 crbug.com/1033655 。 除了修复 bug,面向 Android 的 Chrome 79 还引入了一项新的安全特性 —— 通过在尝试登录网站时,警告用户以前是否因数据泄露而暴露过密码,而带来增强的安全体验。 此外,Android 版 Chrome 79 还支持 WebVR,以及通过书签拖动、或点击书签的选项卡菜单并选择‘向上 / 向下移动’,对其展开重新排序等。 如您此前不幸遭遇数据丢失的问题,还请尽快通过 Play 商店下载 Android 版 Chrome 79 更新。最后,该公司今日同步推出了面向 Windows、Mac、Linux 平台的 Chrome 79.0.3945.88 。 (稿源:cnBeta,封面源自网络。)
IE 浏览器存在远程代码执行漏洞,攻击者可借此控制系统
周一,微软向用户警告广受欢迎的 Internet Explorer 存在一个高危的漏洞,攻击者利用此漏洞可以接管你的计算机,进而在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。 根据微软发布的安全公告,引发此漏洞的根本原因是脚本引擎(Scripting Engine)在内存中处理对象的方式。具体来说就是,Internet Explorer 中的脚本引擎在内存中处理对象时存在一个远程代码执行漏洞,该漏洞以这种方式来破坏内存,然后攻击者可以在当前用户的上下文中执行任意代码。 成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限,如果当前用户使用管理员用户权限登录,则攻击者可以控制受影响的系统。然后攻击者会在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。 在基于 Web 的攻击场景中,攻击者可能拥有一个旨在通过 Internet Explorer 利用此漏洞的特制网站,然后诱使用户查看该网站(例如,通过发送钓鱼电子邮件)。 虽然微软已发布安全更新,并通过修改脚本引擎处理内存中对象的方式来解决此漏洞。但微软再次提醒用户放弃这款已被淘汰的浏览器。今年 2 月,微软的安全研究人员就已敦促用户停止使用 IE 作为默认浏览器。后来在四月份的时候,我们得知,即使仅在计算机上安装 Internet Explorer 甚至不使用它都存在安全风险。 (稿源:开源中国,封面源自网络。)
Firefox 将会增加对网站指纹和加密货币挖矿脚本的保护
秉承着对保护用户隐私的承诺,Mozilla近日宣布将会为Firefox浏览器引入几种新方式。正如此前在Bugzilla追踪器中BUG报告中所暗示的,Firefox将会增加对网站指纹和加密货币挖矿脚本的保护。 Mozilla在官方博文中解释道:网站通过指纹脚本可以收集每位访客的硬件相关数据,这样即使用户清除了cookies也能在网络上追踪用户。这些信息包括处理器、内存容量等信息,在苹果去年发布的macOS 10.14 Mojave中就引入了自己的方式来对抗各种数据收集。 而对于加密货币挖矿脚本,这在当前的互联网上的威胁已经越来越大。该脚本可以让你的计算机在后台进行挖矿作业,为其他人挖掘加密货币。这可能会耗尽系统资源并影响系统性能。 为了解决这两个问题,Mozilla与Disconnect合作创建了黑名单,罗列了使用该脚本的域名站点,用户可以选择阻止其中一项或者完全阻止。目前该功能已经出现在Nightly通道的68版本和Beta通道的67版本中,目前默认情况下处于禁用状态,一旦通过测试提高可靠性和稳定性将会默认启用。 (稿源:cnBeta,封面源自网络。)
谷歌接受批评:新版 Chrome 恢复显示域名中的 www
日前,谷歌为庆祝 Chrome 浏览器10周年,发布了全新的 Chrome 69 正式版,带来了全新的 Material Design 等特性。不过,新版 Chrome 隐藏域名中的 www 遭到了用户批评,并认为会带来安全问题。 Chrome 69 隐藏了网址中的 HTTP/HTTPS,用户随后又发现 Chrome 69 还会隐藏网址中的 WWW,也就是 www.google.com 在地址栏显示的是 google.com。此举引发了争议。WWW 被 Chrome 视为是无关紧要的子域名。但 www.example.com 和 example.com 是有区别的,它们很可能是不同的网站,有着不同的 DNS 记录。Google 的做法被认为会带来安全问题。 对于用户的批评和担心,谷歌坦然接受,并对 Chrome 浏览器作出了更改,在9月12日发布的最新版 Chrome v69.0.3497.92 默认设置中,已经弃用了不再显示协议名称的功能,恢复显示域名中的 www。 稿源:开源中国,封面源自网络;
微软和苹果浏览器漏洞:不改变地址即可改变网页内容
讯 北京时间9月12日早间消息,据美国科技媒体The Register报道,安全研究人员发现Edge和Safari浏览器存在漏洞,恶意者可以利用漏洞发起攻击,在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇(Rafay Baloch)指出,微软已经用补丁修复漏洞,不过苹果行动迟缓,所以目前Safari仍然不安全。 通过漏洞,攻击者可以加载合法页面,让网页地址在地址栏显示,然后快速将页面内的代码转换为恶意代码,地址栏中的URL地址无需改变。这样一来,攻击者可以创建虚假登录屏幕或者其它表格,收集用户名、密码及其它数据,用户很难区分真假,他们会认为自己登录的页面是真实的。 浏览器的源码是封闭的,巴罗奇不清楚Edge和Safari存在该漏洞,但Chrome和火狐没有的原因。照他的猜测,浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说:“不同的浏览器处理导航的手法并不一样,当页面正在加载时,Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次,这样就可以解决问题了。” 微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告,至今还没有修复。按照惯例有90天的时间窗口,巴罗奇说他会披露漏洞,但是在苹果发布补丁之前不会公开代码。 稿源:,稿件以及封面源自网络;
Google Chrome 68 正式向所有不安全的 HTTP 网站开炮
在 7 月 24 号发布的 Chrome 68 中,Google 引入了一项重大的变化。当加载非 HTTPS 网站时,该浏览器的处理方式会更加审慎。据悉,只要遇到潜在不安全的站点,Chrome 都将开始抛出警告信息。虽然不会对日常使用造成太大的影响,但这确实是迄今为止发生的一个重大转变。 Chrome 正在改变加载 HTTP 时的处理方法,因为这项老旧的技术未对数据进行加密。 在之前版本的 Chrome 浏览器中,Google 还只是强调“当前访问的网站是否采访用了更加安全的 HTTPS 加密”,并在地址栏上凸显一个标记。 然而现在的情况是,Google 突然加快的步伐,彻底将那些缺失有效安全证书的非 HTTPS 网站划归到了“潜在不安全”的阵营,并抛出安全警示。 在官方支持页面上,Google 解释到: 过去几年中,我们一直主张站点采用 HTTPS,以提升其安全性。去年的时候,我们还通过将更大的 HTTP 页面标记为‘不安全’以帮助用户。 不过从 2018 年 7 月开始,随着 Chrome 68 的发布,浏览器会将所有 HTTP 网站标记为‘不安全’。 简而言之,从 Chrome 68 开始,这一变动将影响到 Web 和内网中‘潜在不安全’HTTP 网站的访问。 稿源:cnBeta,封面源自网络;