HackerNews 编译，转载请注明出处： 谷歌发布了带外修复程序，以解决其 Windows 版 Chrome 浏览器中的一个高严重性安全漏洞，该漏洞已被利用，攻击目标是俄罗斯的组织。 该漏洞被追踪为 CVE-2025-2783，被描述为在 Windows 上的 Mojo 中“在未指定情况下提供了不正确的句柄”。Mojo 指的是一组运行时库，为跨平台的进程间通信提供机制。 按照惯例，谷歌并未透露有关攻击性质、攻击者身份以及可能的目标的更多技术细节。该漏洞已在 Windows 版 Chrome 134.0.6998.177/.178 中修复。 “谷歌已意识到有报道称 CVE-2025-2783 的利用程序存在于野外环境，”这家科技巨头在一份简短的公告中承认。 值得注意的是，CVE-2025-2783 是今年年初以来首个被积极利用的 Chrome 零日漏洞。卡巴斯基研究人员 Boris Larin 和 Igor Kuznetsov 因在 2025 年 3 月 20 日发现并报告了这一漏洞而受到赞誉。 这家俄罗斯网络安全厂商在其自身的公告中，将 CVE-2025-2783 的零日漏洞利用描述为技术复杂的目标攻击，表明高级持续威胁（APT）的特征。该活动被追踪为 Operation ForumTroll。 “在所有情况下，感染发生在受害者点击网络钓鱼邮件中的链接后，攻击者的网站使用 Google Chrome 网络浏览器打开，”研究人员表示。“无需进一步操作即可被感染。” “该漏洞的本质在于 Chrome 和 Windows 操作系统交叉点上的逻辑错误，允许绕过浏览器的沙箱保护。” 这些短寿命的链接据说是为目标量身定制的，间谍活动是此次行动的最终目标。卡巴斯基表示，恶意邮件包含据称来自合法科学和专家论坛 Primakov Readings 组织者的邀请。 网络钓鱼邮件针对的是俄罗斯的媒体机构、教育机构和政府组织。此外，CVE-2025-2783 被设计为与另一个促进远程代码执行的漏洞利用程序一起运行。卡巴斯基表示，他们无法获得第二个漏洞利用程序。 “到目前为止分析的所有攻击工件都表明攻击者具有高度复杂性，使我们能够自信地得出结论，一个国家赞助的 APT 组织是此次攻击的幕后黑手，”研究人员表示。 鉴于该漏洞正在被积极利用，建议使用基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在补丁可用时尽快应用修复程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员展示了一种新技术，使恶意网络浏览器扩展能够伪装成任何已安装的插件。 “多态扩展创建了目标图标的像素级复制品、HTML弹出窗口、工作流程，甚至暂时禁用合法扩展，使受害者极易相信他们是在向真实扩展提供凭据，”SquareX在上周发布的一份报告中表示。 收集到的凭据随后可能被威胁者滥用，以劫持在线账户并获取未经授权的敏感个人和财务信息访问权限。这次攻击影响了所有基于Chromium的网络浏览器，包括谷歌Chrome、微软Edge、Brave、Opera等。 这种方法利用了用户通常会将扩展程序钉选到浏览器工具栏的事实。在假设的攻击场景中，威胁者可以将多态扩展发布到Chrome网络商店（或任何扩展市场）并将其伪装成实用程序。 网络安全研究人员指出，虽然该插件提供了广告宣传的功能以免引起怀疑，但它在后台通过主动扫描与特定目标扩展相关的网络资源（使用一种称为网络资源撞击的技术）来激活恶意功能。 一旦识别出合适的目标扩展，攻击便会进入下一阶段，导致其变成合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标匹配，并通过“chrome.management”API暂时禁用实际插件来实现的，这会导致它从工具栏中被移除。 “多态扩展攻击极为强大，因为它利用了人类依赖视觉线索进行确认的倾向，”SquareX表示。“在这种情况下，工具栏上扩展图标用于告知用户他们正在交互的工具。” 这一发现是在该公司一个月前披露另一种名为“浏览器同步劫持”的攻击方法之后得出的，该方法可以通过看似无害的浏览器扩展来控制受害者的设备。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络安全威胁显示，至少 320 万用户受到伪装成合法工具的恶意浏览器扩展的影响。16 个扩展（从屏幕截图工具到广告拦截器和表情键盘）被发现向用户的浏览器注入恶意代码。根据 GitLab 威胁情报，这些扩展促进了广告欺诈和搜索引擎优化（SEO）操纵，同时对数据泄露和进一步网络入侵的潜在初始访问构成了重大风险。 威胁行为者采用的攻击链是多阶段且高度复杂的，旨在规避检测的同时破坏浏览器安全。GitLab 的报告指出：“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性，然后注入内容，穿越浏览器安全边界并将恶意代码隐藏在扩展之外。” 攻击似乎始于 2024 年 7 月，威胁行为者获取了合法扩展的访问权限，而不是直接破坏它们。报告暗示，原始开发者可能在不知情的情况下将扩展的所有权转让给了攻击者，为恶意更新提供了直接路径。 到 2024 年 12 月，攻击升级为供应链入侵，涉及对开发者账户的网络钓鱼攻击，允许攻击者通过 Chrome 网上应用店推送恶意更新。这些更新引入了窃取 HTTP 头数据和 DOM 内容的脚本，利用远程存储的动态配置。 虽然这些扩展提供了其宣传的功能，但它们嵌入了一个通用的恶意框架。GitLab 的调查发现了服务工作线程功能的一致性，包括： 安装时进行配置检查，将扩展版本和唯一 ID 传输到远程服务器。 修改浏览器安全策略，特别是从每个会话访问的前 2000 个网站中删除内容安全策略（CSP）头。 持续的心跳信号以刷新配置数据并保持与攻击者命令与控制（C2）基础设施的连接。 GitLab 警告称，删除 CSP 会显著削弱浏览器安全，使用户容易受到跨站脚本（XSS）攻击和其他注入式利用。 “这一例程完全删除了恶意扩展用户的 Content Security Policy 保护。Content Security Policy 在防止 Cross Site Scripting 攻击方面发挥着重要作用，扩展在未经用户同意的情况下降低这种保护，明显违反了 Chrome 网上应用店程序政策，”报告警告说。 对恶意扩展基础设施的分析显示了一个专用配置服务器网络，每个服务器都与特定扩展相关联。例如： 扩展名称 配置服务器 Blipshot blipshotextension[.]com Emojis Keyboard emojikeyboardextension[.]com Nimble Capture api.nimblecapture[.]com Adblocker for Chrome abfc-extension[.]com KProxy kproxyservers[.]site 这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的 Apps Platform，并使用一致的 x-do-app-origin 头，表明攻击者通过单一基于云的应用程序部署了所有配置。 此外，与攻击相关的脚本也被发现在针对组织的网络钓鱼工具包中嵌入，这表明攻击者与参与凭证盗窃活动的网络入侵行为者之间可能存在联系。 攻击者通过动态脚本注入确保了长期持久性。rcx-cd-v3.js 有效载荷使用了高级 JavaScript 混淆技术在浏览器中执行代码。这一有效载荷使得网络请求的修改成为可能，包括： 通过在服务工作线程中执行请求来绕过 CORS 限制。 修改广告拦截规则，允许广告域的同时阻止微软的跟踪服务。 向访问欧洲地区亚马逊产品页面的受害者注入带有恶意内容的 iframe 和后台标签。 GitLab 的研究人员怀疑，这些活动支持点击欺诈活动、SEO 操纵，甚至可能涉及敏感数据盗窃。 谷歌在 2025 年 1 月接到通知，并已从 Chrome 网上应用店中移除了所有已识别的恶意扩展。然而，从应用店中移除并不会触发自动卸载。之前安装了这些扩展的用户必须手动从浏览器中删除它们。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   mozilla 已经重申了其承诺，将继续支持 Manifest V2 扩展程序，同时引入 Manifest V3，让用户能够自由选择他们想要在浏览器中使用的扩展程序。 Manifest V3 是谷歌开发的浏览器扩展程序规范，旨在通过限制过于宽松的网络请求和远程内容加载，使网络浏览器的插件功能更安全。 尽管出发点是好的，但 Manifest V3 对某些类型的插件（如广告拦截器）施加了限制，这可能会使它们的效果大打折扣。 随着 Manifest V3 的强制实施，不兼容的扩展程序正从用户的浏览器中被禁用，剥夺了用户在功能和风险之间做出选择的权利。 BleepingComputer 上周晚些时候确认的一个 notable case 是 uBlock Origin 广告拦截器被禁用，该拦截器在 Chrome Web Store 上的下载量已超过 3800 万次。 尽管许多广告拦截器已经迁移到了 Manifest V3 版本，但这些版本通常在检测和拦截定向内容方面能力较弱。 虽然微软 Edge、mozilla firefox 和苹果 Safari 都已经采用了 Manifest V3，但他们各自进行了修改，使用户在享受安全增强的同时拥有更大的自由度。 对于旧的插件来说，支持 Manifest V2 是唯一的选择，而 firefox 今天通过公告重申了其将继续在可预见的未来支持 Manifest V2。 mozilla 表示：“虽然一些浏览器正在逐步淘汰 Manifest V2，但 firefox 将继续同时支持 Manifest V2 和 Manifest V3。” 具体来说，这家互联网公司表示，将继续支持 ‘blockingWebRequest’ 和 ‘declarativeNetRequest’ 这两个 API，分别对应 Manifest V3 和 Manifest V2，使像 uBlock Origin 这样的扩展程序能够继续正常工作。 mozilla 尚未说明这种支持将持续多久，但只要还有强大的插件能够增强用户的隐私和安全，mozilla 就有充分的理由继续支持 Manifest V2。 最终，mozilla 表示，这是对其自身宣言中 “原则 5” 的坚持，该原则指出：“个人必须有能力塑造互联网以及他们在互联网上的体验。” 当 Manifest V3 于 2022 年 11 月引入 firefox 时，mozilla 表示将在 2023 年底评估 Manifest V2 的弃用问题。 后来，在 2024 年 3 月，鉴于出现的所有技术和实际复杂性，mozilla 宣布在可预见的未来没有计划弃用 Manifest V2。 最新的公告重申了这一承诺，使 firefox 成为少数几个允许用户继续使用 Manifest V2 插件的网络浏览器之一。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Morphisec 发现了 ValleyRAT 恶意软件的一个新变种，该变种具备先进的规避策略、多阶段感染链以及针对系统的全新传播方式。 Morphisec 威胁实验室的网络安全研究人员发现了这种复杂的 ValleyRAT 恶意软件的新版本，它通过网络钓鱼邮件、即时通讯平台以及被攻陷的网站等多种渠道进行传播。ValleyRAT 是一种多阶段恶意软件，与臭名昭著的 “银狐” 高级持续性威胁（APT）组织有关联。 根据 Morphisec 与Hackread.com分享的调查结果，此次攻击活动的主要目标是各组织内的重要人员，尤其是财务、会计和销售部门的人员，目的是窃取敏感数据。 早期的 ValleyRAT 版本利用伪装成合法软件安装程序的 PowerShell 脚本，常常通过 DLL 劫持手段，将其有效载荷注入 WPS Office 甚至火狐（Firefox）等程序的签名可执行文件中。2024 年 8 月，Hackread.com报道过一个 ValleyRAT 版本，该版本使用外壳代码将恶意软件组件直接注入内存。 相反，当前版本利用一个假冒的中国电信公司 “Karlos” 的网站（karlostclub/）来分发恶意软件，该网站会下载一系列文件，其中包括一个.NET 可执行文件，它会检查管理员权限并下载其他组件，包括一个 DLL 文件。 研究人员在博客文章中写道：“有趣的是，攻击者在新旧版本的攻击中都复用了相同的 URL。” 据研究人员称，从 anizomcom / 下载假冒的 Chrome 浏览器是攻击链中的初始感染途径，诱使受害者下载并执行恶意软件。名为 sscronet.dll 的文件故意取了个看似合法的标识符以避免引起怀疑，它会将代码注入合法的 svchost.exe 进程，充当监控程序，终止预定义排除列表中的任何进程，以防止其干扰恶意软件的运行。接下来，恶意软件利用经过修改的抖音（中国版 TikTok）可执行文件进行 DLL 侧加载，并借助 Valve 游戏（特别是《求生之路 2》和《杀戮空间 2》）中的合法 Tier0.dll 文件，在 nslookup.exe 进程中执行隐藏的代码。该进程从 mpclient.dat 中检索并解密 ValleyRAT 的主要有效载荷。 解密后的有效载荷使用 Donut 外壳代码在内存中执行恶意软件，绕过传统的基于磁盘的检测方法。它还试图禁用诸如反恶意软件扫描接口（AMSI）和 Windows 事件跟踪（ETW）等安全机制。 需要说明的是，ValleyRAT 是一款基于 C++ 的远程访问木马，具备基本的远程访问木马功能，比如能够访问 WinSta0 窗口站，实现对屏幕、键盘和鼠标的交互操作，并监控受害者的屏幕。它包含大量针对 VMware 的反检测机制，以逃避在虚拟化环境中的检测，并在安装过程中使用代码内初始化的 IP 地址和端口与命令控制（C2）服务器建立连接。 研究人员指出：“如果恶意软件未检测到自己在虚拟机（VM）内运行，它会尝试连接baidu.com，作为其网络通信检查的一部分。” “银狐” APT 组织不断变化的策略和规避技术表明，新型攻击正变得越来越复杂。各组织应采取恰当的安全策略，包括更严格的端点保护、员工培训以及持续监控，以降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303844 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 最新曝光的一起针对Chrome浏览器扩展开发者的钓鱼攻击事件显示，至少有35个扩展被黑客入侵并植入了数据窃取代码，其中包括网络安全公司Cyberhaven的扩展。这些受害扩展累计用户量约260万。 最初报道聚焦于Cyberhaven的安全扩展，但后续调查发现，同一恶意代码已渗透至35个扩展中。根据LinkedIn和Google Groups上受害开发者的反馈，攻击活动大约始于2024年12月5日，但BleepingComputer发现的相关子域名信息显示，攻击活动可能早在2024年3月就已开始酝酿。 “我只是想提醒大家注意一封比平常更为复杂的钓鱼邮件，邮件称我们违反了Chrome扩展政策，形式是：‘描述中有不必要的细节’。”该开发者在Google Group的Chromium扩展组发布了此信息。 “邮件中的链接看起来像是网页商店，但实际指向一个钓鱼网站，试图控制你的Chrome扩展，并可能将其更新为恶意软件。” 该攻击始于向Chrome扩展开发者直接发送的钓鱼邮件，或通过与其域名关联的支持邮箱发送。 根据BleepingComputer查看的邮件，以下域名被用于此次钓鱼攻击： supportchromestore.com forextensions.com chromeforextension.com 这些钓鱼邮件伪装成来自Google，声称该扩展违反了Chrome Web Store的政策，面临被下架的风险。 “我们不允许具有误导性、格式差、描述不清、无关、过多或不当的元数据的扩展，包括但不限于扩展描述、开发者名称、标题、图标、截图和宣传图片。”钓鱼邮件中写道。 具体而言，扩展开发者被诱导认为其软件描述含有误导信息，并被要求确认遵守Chrome Web Store的政策。一旦开发者点击邮件中的“前往政策”链接以了解违规详情，他们会被重定向至Google域下的正规登录页面，但该页面实则用于一个恶意的OAuth应用。 此登录页面遵循Google的标准授权流程，本用于安全授权第三方应用访问Google账户资源。然而，攻击者在此平台上部署了一个名为“隐私政策扩展”的恶意OAuth应用，诱骗受害者授权其管理Chrome Web Store扩展的权限。 “当您允许此访问时，隐私政策扩展将能够：查看、编辑、更新或发布您可以访问的Chrome Web Store扩展、主题、应用程序和许可证。”OAuth授权页面上写道。 权限批准提示（来源：Cyberhaven） 尽管启用了多因素认证（MFA），但账户安全仍未能得到保障，因为OAuth授权流程中的直接批准环节无需额外验证，且默认用户充分知晓所授予的权限。 Cyberhaven在事后分析中指出：“一名员工按照标准流程操作，不慎授权了恶意第三方应用。” 该员工虽已启用Google高级保护并设有MFA，但在授权过程中未收到任何MFA提示，其Google凭证也未被泄露。 获得账户访问权后，攻击者篡改了扩展，植入了“worker.js”和“content.js”两个恶意文件，内含窃取Facebook账户数据的代码。随后，这些被劫持的扩展以“新版本”的形式被发布到Chrome Web Store上。 尽管Extension Total追踪了此次钓鱼活动影响的35个扩展，但来自攻击的IOCs显示，实际受影响的扩展数量要远远超过这个数字。 根据VirusTotal的数据，攻击者为目标扩展预先注册了域名，即便这些扩展的开发者没有上当。 尽管大多数域名是在11月和12月创建的，BleepingComputer发现攻击者早在2024年3月就开始测试这一攻击。 早期钓鱼活动中使用的子域名（来源：BleepingComputer） 对受损设备的分析显示，攻击者瞄准了使用中毒扩展的用户的Facebook账户。具体来说，窃取数据的代码试图抓取用户的Facebook ID、访问令牌、账户信息、广告账户信息和企业账户信息。 被劫持扩展窃取的Facebook数据（来源：Cyberhaven） 此外，恶意代码还在Facebook.com上设置了鼠标点击事件监听器，专门捕获与Facebook双因素认证（2FA）或验证码相关的二维码图像，企图绕过2FA保护，从而控制用户账户。 这些被窃取的信息，包括Facebook Cookies、用户代理字符串、Facebook ID以及监听到的鼠标点击事件，会被打包并传输至攻击者的指挥和控制（C2）服务器。 攻击者针对Facebook企业账户展开多种攻击手段，意图利用受害者的信用卡信息直接向其账户转账，或在社交平台上散布虚假信息、实施钓鱼活动，甚至将账户访问权限转售他人。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，一场针对Chrome浏览器扩展的新型攻击活动曝光，至少有16款扩展被攻破，导致超过60万用户的敏感数据和凭据泄露。 此次攻击通过钓鱼手段，瞄准了Chrome Web Store上的扩展发布者，利用他们的访问权限，在合法扩展中植入恶意代码，以窃取用户的Cookie和访问令牌。 首个确认受影响的公司是网络安全企业Cyberhaven。12月27日，Cyberhaven透露其浏览器扩展遭到威胁行为者的攻击，恶意代码被注入，与位于cyberhavenext[.]pro的外部指挥控制（C&C）服务器通信，下载额外配置文件并窃取用户数据。 LayerX Security公司CEO Or Eshed指出，浏览器扩展是网络安全中的薄弱环节。尽管通常认为扩展无害，但它们往往拥有广泛权限，能访问用户的敏感信息，如Cookie、访问令牌和身份信息。 许多组织对其终端安装的扩展及潜在风险缺乏了解。随着Cyberhaven漏洞事件的曝光，与同一C&C服务器通信的其他受攻击扩展也被迅速识别。 Nudge Security公司首席技术官Jamie Blasco进一步发现了指向C&C服务器同一IP地址的其他域名。 目前，疑似被攻破的扩展包括但不限于： AI Assistant – ChatGPT和Gemini for Chrome Bard AI Chat Extension GPT 4 Summary with OpenAI Search Copilot AI Assistant for Chrome TinaMind AI Assistant Wayin AI VPNCity Internxt VPN Vindoz Flex Video Recorder VidHelper Video Downloader Bookmark Favicon Changer Castorus Uvoice Reader Mode Parrot Talks Primus 这些扩展的受感染情况表明，Cyberhaven并非唯一目标，此次攻击是一次针对合法浏览器扩展的大规模活动。 分析显示，被攻破的Cyberhaven扩展中的恶意代码主要针对Facebook账户的身份数据和访问令牌，特别是商业账户。 Cyberhaven表示，恶意版本扩展在上线约24小时后已被移除，部分其他受影响扩展也已从Chrome Web Store更新或下架。 然而，LayerX的Or Eshed警告，即使扩展从商店下架，只要受感染版本仍在用户设备上运行，攻击者仍可访问并窃取数据。 安全研究人员正继续寻找更多受影响的扩展，但此次攻击活动的复杂性和规模已给许多组织敲响了保护浏览器扩展安全的警钟。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，谷歌正在开发一项不受限制的 WebUSB 新功能，可允许受信任的隔离网络应用程序绕过 WebUSB API 中的安全限制。 WebUSB 是一种 JavaScript API，能够让网络应用程序访问计算机上的本地 USB 设备。作为 WebUSB 规范的一部分，某些接口，比如HID、大容量存储、智能卡、视频、音频/视频设备和无线控制器会受保护，不能通过网络应用程序访问，以防止恶意脚本访问潜在的敏感数据。 此外，WebUSB 规范还包括一个阻止列表，禁止通过 API 访问的特定 USB 设备，如用于多因素身份验证的 YubiKeys、Google Titan 密钥和 Feitian 安全密钥。 谷歌目前正在测试的 “无限制 WebUSB “功能，允许隔离的网络应用程序访问这些受限制的设备和接口。谷歌在 Chrome 浏览器的状态更新中指出：“WebUSB 规范定义了一个易受攻击设备的屏蔽列表和一个受保护接口类的列表，这些设备和接口类被禁止通过 WebUSB 访问。有了这项功能，拥有访问 ‘usb-un-restricted’ 权限策略功能的隔离网络应用程序将被允许访问这些列表中的设备和受保护的接口。” 独立网络应用程序是指不托管在实时网络服务器上，而是打包成网络捆绑包（Web Bundles）、由开发人员签名并分发给最终用户的应用程序。这些应用程序通常供公司内部使用。为使其正常运行，这些网络应用必须拥有使用 “USB-unrestricted “功能的权限。 当具有该权限的应用程序试图访问 USB 设备时，系统会首先检查该设备是否在易受攻击设备的拦截列表中。如果是，该设备通常会从访问列表中移除。但使用 “usb-unrestricted “权限的网络应用程序可以绕过这一限制。 这一功能无疑会让受信任的隔离网络应用程序能够访问更广泛的 USB 设备，从而在受信任的环境中实现更多功能。谷歌表示，它计划在将于 2024 年 8 月发布 Chome 128 版本中对其进行测试。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404867.html 封面来源于网络，如有侵权请联系删除

Chrome Web Store 上的恶意扩展程序问题到底有多严重？这取决于你相信谁。 谷歌方面表示，所有安装中只有不到 1% 包含恶意软件。但一组大学研究人员声称，在三年内有 2.8 亿人安装了受恶意软件感染的 Chrome 扩展程序。 谷歌上周表示，到 2024 年， Chrome Web Store上安装的所有扩展程序中，只有不到 1% 被发现包含恶意软件，目前该应用商店包含超过 25 万个扩展程序。 该公司补充说，虽然它对自己的安全记录感到自豪，但一些不良扩展程序仍然会通过，这就是为什么它还会监控已发布的扩展程序。“与任何软件一样，扩展程序也可能带来风险。” 斯坦福大学和 CISPA 亥姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 对这些数字给出了精确的估计。 据一份研究报告显示，三人对 Chrome 商店的安全重点扩展程序 (SNE) 进行了检查。SNE 是指包含恶意软件、违反 Chrome 网上商店政策或包含易受攻击代码的扩展程序。 研究发现，在 2020 年 7 月至 2023 年 2 月期间，有 3.46 亿用户安装了 SNE。其中 6300 万个违反政策，300 万个易受攻击，而这些 Chrome 扩展程序中有 2.8 亿个包含恶意软件。当时，Chrome 网上应用店中有近 125,000 个扩展程序可用。 研究人员发现，安全的 Chrome 扩展程序通常不会在商店中停留很长时间，一年后只有 51.8 – 62.9% 的扩展程序仍可用。另一方面，SNE 平均在商店中停留 380 天（恶意软件），如果包含易受攻击的代码，则停留 1,248 天。 存活时间最长的 SNE 名为 TeleApp，已存在 8.5 年，最后一次更新是在 2013 年 12 月 13 日，并于 2022 年 6 月 14 日被发现包含恶意软件，随后被删除。 我们经常被建议检查用户评级来确定应用程序或扩展程序是否是恶意的，但研究人员发现，这对于 SNE 的情况没有帮助。 “总体而言，用户不会给 SNE 打低分，这表明用户可能没有意识到此类扩展程序很危险。”作者写道。“当然，机器人也有可能给这些扩展程序打出虚假评论和高分。然而，考虑到一半的 SNE 都没有评论，似乎在这种情况下使用虚假评论并不普遍。” 谷歌表示，专门的安全团队会为用户提供他们安装的扩展程序的个性化摘要，在扩展程序发布到商店之前对其进行审查，并在发布后持续监控它们。研究人员建议谷歌还监控扩展程序的代码相似性。 报告指出：“例如，大约有 1,000 个扩展使用开源 Extensionizr 项目，其中 65% 到 80% 仍在使用六年前最初随该工具打包的默认和易受攻击的库版本。”他们还指出，由于缺乏维护，扩展在漏洞披露后很长时间仍留在商店中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2ZNw6pZsmEwuSg_4311Ucg 封面来源于网络，如有侵权请联系删除

Google 宣布在 Chrome 网络浏览器中支持所谓的 V8 沙盒。该公司将 V8 沙盒纳入 Chrome 的漏洞奖励计划 (VRP)。 Chrome 123 是沙盒的一种“测试版”版本，旨在缓解 Javascript 引擎中的内存损坏问题。 V8 沙箱旨在防止内存损坏问题，从而影响进程中的其他内存区域。 2021 年至 2023 年间，几乎所有在野外观察到的Chrome 漏洞都会触发 Chrome 渲染器进程中的内存损坏问题，该进程被用于远程代码执行 (RCE)。其中大部分问题 (60%) 影响了 V8 Javascript 引擎。 “V8 漏洞很少是“经典”内存损坏错误（释放后使用、越界访问等），而是微妙的逻辑问题，这些问题反过来可以被利用来损坏内存。因此，现有的内存安全解决方案大部分不适用于 V8。”公告中表示， “特别是，无论是 切换到内存安全语言（例如 Rust），还是使用当前或未来的硬件内存安全功能（例如 内存标记），都无法帮助解决 V8 当前面临的安全挑战。” 研究人员强调，几乎所有 V8 漏洞的一个共同点是最终内存损坏发生在 V8 堆内。这主要是因为编译器和运行时主要处理 V8 HeapObject 实例。 为了缓解此类漏洞，研究人员设计了一种技术来隔离 V8 的（堆）内存，以防止内存损坏扩散到进程内存的其他部分。 “沙箱通过将 V8 执行的代码限制在进程虚拟地址空间（“沙箱”）的子集内，从而将其与进程的其余部分隔离，从而限制了典型 V8 漏洞的影响。这纯粹在软件中起作用（带有硬件支持选项，请参阅下面链接的相应设计文档），通过有效地将原始指针转换为距沙箱底部的偏移量或转换为沙箱外指针表的索引。原则上，这些机制与现代操作系统使用的用户态/内核分离非常相似（例如unix文件描述符表）。” 谷歌表示： “沙箱假设攻击者可以任意同时修改沙箱地址空间内的任何内存，因为该原语可以从典型的 V8 漏洞构建。此外，假设攻击者能够读取沙箱外部的内存，例如通过硬件侧通道。然后，沙箱旨在保护进程的其余部分免受此类攻击者的侵害。因此，沙箱地址空间之外的任何内存损坏都被视为沙箱违规。” 基于软件的沙箱 用“沙箱兼容”替代方案替换了可以访问沙箱外内存的数据类型。 在基于软件的沙箱中，只有 V8 堆被封闭在沙箱内。因此，整体结构类似于WebAssembly 采用的沙箱模型。 研究人员表示，沙箱产生的大部分开销主要来自外部对象的指针表间接。一个较小的开销与使用偏移量而不是原始指针有关，主要涉及移位+添加操作，无论如何这是相当便宜的。根据使用 Speedometer 和 JetStream 基准套件的测量结果确定，沙箱的开销约为标准工作负载的 1% 或更少。因此，V8 Sandbox 可以在兼容平台上默认激活。 “必须在构建时使用构建标志启用/禁用 V8 沙箱 v8_enable_sandbox 。（由于技术原因）不可能在运行时启用/禁用沙箱。 V8 Sandbox 需要 64 位系统，因为它需要预留大量虚拟地址空间，目前为 1 TB。”公告总结道。 “大约在过去两年里，V8 沙盒已经在 Android、ChromeOS、Linux、macOS 和 Windows 上的 64 位（特别是 x64 和 arm64）版本的 Chrome 上默认启用。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/_UhdYJiOBpD4nBB4zfkvsQ 封面来源于网络，如有侵权请联系删除