ZDNet 报道称，谷歌在过去三周时间内，修复了影响 Chrome 浏览器的五个凌日漏洞。在今日发布的 Chrome 86.0.4240.198 版本中，就包括了最新的两个。据悉，此前的三个零日漏洞，是谷歌内部安全研究人员发现的。而这次紧急修复的两个，则来自于不愿透露姓名的消息人士。 截止发稿时，谷歌尚未披露两个零日漏洞攻击的详情。但在 Chrome 86.0.4240.198 的变更日志中，该公司还是提到了两个通用漏洞披露编号。 首先是 CVE-2020-16013，其描述涉及 Chrome 组件中处理 JavaScript 代码的 V8 引擎的不当实现。 其次是 CVE-2020-16017，其描述涉及 Chrome 组件中负责隔离不同站点数据的‘释放后使用’内存泄露 bug 。 两个 CVE 的披露时间分别为周一和周三，不过遗憾的是，目前尚不清楚这两个漏洞是否需要被结合在一起使用，但是可以单独发挥一定的破坏力。 在此之前，Google 还修补了以下三个零日漏洞： ● CVE-2020-15999：Chrome 浏览器的 FreeType 字体渲染库问题，谷歌在 10 月 20 日完成了与 Windows 零日漏洞（CVE-2020-17087）的修补，但拖到了本周。 ● CVE-2020-16009：同样涉及 Chrome 的 JavaScript V8 引擎，谷歌在 11 月 2 日完成了修复。 ● CVE-2020-16010：这次主要与 Chrome for Android 有关，主要影响浏览器的用户界面（UI）组件。 目前尚不清楚上述漏洞的严重程度，但谷歌还是建议大家尽快更新至 86.0.4240.198 。不过鉴于大多数零日漏洞攻击仅会瞄向少数极具针对性的目标，普通用户其实没必要太过恐慌。       （消息来源：cnBeta；封面来自网络）

过去几年，谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下，受影响的机构将有 90 天的时间来筹备修复，然后相关漏洞详情才会被公开披露。最新消息是，谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。 据悉，问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions，主要负责与“动作执行器”（Action Runner）之间的通信工作。 Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患：“当进程解析至 STDOUT 的每一行，以寻找工作流命令时，每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。 自 7 月 21 日发现该安全漏洞之后，Project Zero 团队已经及时向 GitHub 方面通报了此事，并为其提供了标准的 90 天宽限期（截止 10 月 18 日）。 最终 GitHub 决定弃用易受攻击的命令，并发出“中等严重的安全漏洞”的修补建议，通知开发者更新其工作流程。 10 月 16 日，GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期，以完全禁用相关命令（新截止日期为 11 月 2 日）。 不过当 GitHub 试图再申请 48 小时的宽限期后，Project Zero 觉得一再拖延并不能解决问题，并且有违标准的漏洞披露流程，于是最终还是披露了漏洞详情和概念验证代码。     （消息来源：cnBeta；封面来自网络）

在过去几周时间里，谷歌都在积极修复存在于 Chrome 浏览器中的多个安全漏洞。最新发现的一个漏洞存在于桌面端 Chrome 的 V8 JavaScript 引擎中，能够发起远程执行代码（RCE）攻击。而存在于 Android 端 Chrome 中的一个漏洞能从沙盒中逃脱。 谷歌威胁分析小组(TAG)和 Project Zero 团队的专家上周发现了零日漏洞 CVE-2020-16009。本周一，谷歌面向 Windows、macOS 和 Linux 发布了 Chrome 86.0.4240.183 更新，修复了上述漏洞。 该补丁说明除了说它与V8 JavaScript渲染引擎中的 “不适当的实现 “有关外，没有透露有关该安全漏洞的细节。它还提到这个弱点已经被积极利用。补丁说明中写道：“谷歌承认已经有黑客利用 CVE-2020-16009 漏洞发起了攻击”。 谷歌Project Zero的技术负责人Ben Hawkes在推特上表示，该缺陷允许攻击者进行RCE（远程代码执行）攻击。Hawkes还提到了Chrome安卓版的一个关键更新，修复了安卓手机上的 “沙盒逃逸”（CVE-2020-16010）。86.0.4240.183更新还包括其他几个高优先级安全补丁。谷歌建议立即更新桌面版和Android版Chrome浏览器。     （消息来源：cnBeta；封面来自网络）

本周谷歌从官方Play Store删除了17款Android应用程序。据来自Zscaler的安全研究人员Viral Gandhi称，这17个应用程序全部感染了Joker（又名Bread）恶意软件。他说：“这个间谍软件旨在窃取短信、联系人名单和设备信息，同时，也在悄悄地为受害者注册高级无线应用协议（WAP）服务”。 这17款应用分别是： All Good PDF Scanner Mint Leaf Message-Your Private Message Unique Keyboard – Fancy Fonts and Free Emoticons Tangram App Lock Direct Messenger Private SMS One Sentence Translator – Multifunctional Translator Style Photo Collage Meticulous Scanner Desire Translate Talent Photo Editor – Blur focus Care Message Part Message Paper Doc Scanner Blue Scanner Hummingbird PDF Converter – Photo to PDF All Good PDF Scanner 谷歌已经从Play Store中删除了这些应用程序，并启动了Play Protect禁用服务，但用户仍然需要手动干预从设备中删除这些应用程序。 Joker是游戏商店的祸根。截止本次，这已经是最近几个月，谷歌安全团队第三次处理Joker感染的应用程序。 本月初，谷歌团队刚删除6款被感染的应用。而在此前的7月，谷歌安全研究人员也发现了一批被Joker感染的应用程序。 据调查发现，这批病毒软件从3月份开始活跃，已经成功感染了数百万台设备。 这些被感染的应用程序采用的是一种叫做“滴管（dropper）”的技术。这种技术能让受感染的应用程序绕过Google的安全防御系统，直达Play Store，并分多个阶段感染受害者的设备。 从谷歌的角度来看，这项技术非常简单，但却很难防御。 首先，恶意软件的创造者会克隆合法的应用程序功能，并上传到Play Store。通常来讲，此应用程序功能齐全，可以请求访问权限，但首次运行时不会执行任何恶意操作。由于恶意操作往往会延迟数小时或数天，谷歌的安全扫描也不会检测到恶意代码，因此，此类应用程序通常会出现在Play Store商店内。 但一旦用户安装到设备上，应用程序就会在设备上下载并“丢弃”（由此得名为droppers或loaders）其他组件或应用程序，而这些组件或应用程序包含了Joker恶意软件或其他恶意软件。 今年1月，谷歌发表了一篇博文，声称Joker是过去几年来，他们应对过的最持久、最先进的威胁之一。同时，谷歌也表示，自2017年以来，其安全团队已从Play Store删除了1700多个应用程序。总之，防范Joker很困难，但是如果用户在安装具有广泛权限的应用程序时能够谨慎一些，可以降低被感染的可能。 此外，Bitdefender也向谷歌安全团队报告了一批恶意应用，其中一些应用程序仍然可以在Play Store上使用。Bitdefender没有透露应用程序的名称，只透露了上传应用程序的开发者帐户名称，并表示安装了这些开发人员的应用程序的用户应立即将其删除。       （消息及封面来源：cnBeta）

谷歌已从Play Store中删除了几款Android应用程序，原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现，称21个恶意应用（从此处列出）从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用，并带有HiddenAds恶意软件，该恶意软件是一个臭名昭著的木马，以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初，Avast发现了类似的HiddenAds广告活动，其中涉及47个游戏应用程序，下载量超过1500万次，用于显示设备范围内的入侵广告。 Avast的JakubVávra说：“广告软件开发商越来越多地使用社交媒体渠道，就像普通的营销人员一样。” “这次，用户报告显示，他们的目标是在YouTube上宣传游戏的广告。” “9月份，我们看到广告软件通过TikTok传播。这些社交网络的普及使它们成为有吸引力的广告平台，也使攻击者以年轻的受众为目标。” 安装后，这些应用程序不仅会隐藏其图标以防止删除，而且还隐藏在具有相关外观的广告后面，从而使其难以识别。 此外，这些应用还可以覆盖其他应用，以显示无法跳过的定时广告，在某些情况下，甚至可以打开浏览器用广告轰炸用户。 谷歌一直在积极阻止流氓Android应用渗透到谷歌Play Store。它利用谷歌Play Protect来筛选可能有害的应用程序，并于去年与网络安全公司ESET、Lookout和Zimperium结成“App Defense Alliance”，以降低基于应用程序的恶意软件的风险。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

移民律师事务所Fragomen, Del Rey, Bernsen & Loewy已经证实了一起涉及谷歌现任和前员工个人信息的数据泄露事件。这家位于纽约的律师事务所为大型公司提供就业验证筛选服务，以确定员工是否有资格和授权在美国工作。 每家在美国运营的公司都需要对每一位员工保存一份I-9表格档案，以确保他们拥有合法的工作许可，并且不受更严格的移民规则的限制。 但I-9表格文件可能包含大量敏感信息，包括护照、身份证和驾照等政府文件，以及其他个人身份数据，这使得它们成为黑客和身份窃贼的目标。 但该律师事务所表示，上个月发现，未经授权的第三方访问了一个包含 “有限数量”的谷歌现任和前员工个人信息的文件。 在递交给加州总检察长办公室的通知中，Fragomen没有说明被访问的数据是什么样的，也没有说明有多少谷歌员工受到影响。根据州法律规定，受违规事件影响的加州居民超过500人的公司，必须向州检察长办公室提交通知。 Fragomen的发言人迈克尔·麦克纳马拉(Michael McNamara)拒绝透露有多少谷歌员工受到此次违规事件的影响。 谷歌发言人没有回应置评请求。     （消息来源：cnbeta；封面来自网络）

谷歌在今天早些时候推出了 Chrome 浏览器的 86.0.4240.111 版本，以修复正在被积极利用的 CVE-2020-15999 零日漏洞。据悉，该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug，随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。 团队负责人 Ben Hawkes 表示，其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。 尽管在今日早些时候发布的 FreeType 2.10.4 版本中，已经包含了针对该漏洞的补丁修复，但 Ben Hawkes 还是敦促使用相同字体渲染库的其它厂商也尽快更新其软件，以防止此类攻击的扩大化。 Chrome 用户可通过浏览器内置的更新功能（菜单 -> 帮助 -> 关于），升级到最新的 86.0.4240.111 版本。 等到其它软件厂商在未来几个月内实施了修复之后，想必谷歌 Project Zero 也会披露有关有 CVE-2020-15999 漏洞利用的更多细节。 据悉，CVE-2020-15999 是过去 12 个月以来，第三次被发现存在野外利用的 Chrome 零日漏洞（此前还有 2019 年 10 月的 CVE-2019-13720、以及 2020 年 2 月的 CVE-2020-6418）。 感兴趣的朋友，可移步至 FreeType 开源项目主页了解这个零日漏洞。     （消息来源：cnbeta，封面来自网络）

与每个月的情况一样，谷歌已经开始为本月支持的Pixel设备推出月度安全补丁。这家搜索巨头还发布了Android安全公告，以记录作为2020年10月补丁的一部分所解决和修复的所有错误和漏洞。补丁列表中包括操作系统中各个组件中的一些高严重性漏洞，公告中提供了详细的内容。 除了这些适用于不同Android版本的修复之外，该公司还详细介绍了针对支持的Pixel设备发布的功能补丁。这些更新通过带来Pixel手机特有的性能改进、bug修复等，提高了设备的可用性。 本月的更新为所有支持的机型带来了屏幕自动旋转的改进，为最新的中端机、Pixel 4a等带来了触控灵敏度和自动亮度的提升。此次更新还修复了最近报道的向上滑动手势访问最近应用UI的问题。 以下是该公司发布的完整变更日志： 补丁应该会在今天通过空中更新（OTA）逐步开始向所有用户推出。然而，对于带运营商锁的设备，推出时间表可能有所不同。Google还在此提供了OTA镜像，供用户手动加载镜像并更新设备。 此外，Android安全公告本月补丁的源代码将在未来48小时内在Android开源项目(AOSP)存储库上提供。     （稿源：cnBeta，封面源自网络。）

随着操作系统代码复杂度的提升，Bug 与漏洞也变得越来越难以避免。与此同时，随着 Android 与 iOS 平台在移动时代的重要性日渐提升，行业也需要越来越多有这方面经验的安全研究人员。最新消息是，搜索巨头谷歌正在组建一支 Android 安全团队，并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事，但谷歌显然还是希望通过成立一支新的团队，来进一步加速发现和修复 Bug 的过程。 具体说来是，这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是，该公司也在一则招聘启事中进行了披露。   据悉，搜索巨头希望招募安全工程方面的经理人选（传送门），该职位需要负责组建一支安全团队，然后对 Google Play 上高度敏感的第三方 Android 应用进行安全评估。 外媒猜测，该团队或专注于包含敏感用户数据的 App，比如网银和最近流行的 COVID-19 密切接触者追踪通报应用程序。 此外这份招聘启事还讨论了谷歌正在寻找的新 Android 安全团队将不仅致力于发现敏感 App 中的漏洞，同时也会提供解决问题的补救措施。 更进一步的话，新团队还将负责与其它 Android 安全团队的合作，以找到更好的方法来缓解此类问题的发生，后续显然会将范围覆盖到自家的 Play 应用商店之外。 换言之，此举将提升 Android 生态系统的整体安全性和可访问性，进而带来更好的用户体验。     （稿源：cnBeta，封面源自网络。）

早在 4 个月前，安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是，尽管给足了 137 天的时间，谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是，在 Allison Husain 将详情公布后不久，谷歌团队就于 7 小时内在服务器端部署了缓解措施，以便能够撑到 9 月的正式修复。 据悉，该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。 此外 Allison Husain 指出，该 bug 还使得邮件附件能够骗过发件人策略框架（SPF）和基于域的消息身份验证（DMARC）这两项最先进的邮件安全标准。 遗憾的是，搜索巨头在漏洞修复上有些不够积极，甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码，谷歌工程师才于昨日改变了主义。 博文上线 7 小时后，谷歌向 Allison Husain 表示，该公司已在服务器端部署了缓解措施。 至于这个 Gmail（G Suite）Bug 本身，实际上是两个因素的结合，首先是攻击者可将欺骗性的电子邮件发送到后端网关。 其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发，同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。 利用此功能转发的好处是，Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端，其垃圾邮件评分也可能较低，从而减少了被过滤系统拦截的可能。 Allison Husain 指出，这两个 bug 都是谷歌独有，如果漏洞未得到及时修补，其很有可能被恶意邮件发送者滥用。庆幸的是，通过在服务器端部署缓解措施，用户这边无需执行任何附加操作。     （稿源：cnBeta，封面源自网络）