Chrome Web Store 上的恶意扩展程序问题到底有多严重？这取决于你相信谁。 谷歌方面表示，所有安装中只有不到 1% 包含恶意软件。但一组大学研究人员声称，在三年内有 2.8 亿人安装了受恶意软件感染的 Chrome 扩展程序。 谷歌上周表示，到 2024 年， Chrome Web Store上安装的所有扩展程序中，只有不到 1% 被发现包含恶意软件，目前该应用商店包含超过 25 万个扩展程序。 该公司补充说，虽然它对自己的安全记录感到自豪，但一些不良扩展程序仍然会通过，这就是为什么它还会监控已发布的扩展程序。“与任何软件一样，扩展程序也可能带来风险。” 斯坦福大学和 CISPA 亥姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 对这些数字给出了精确的估计。 据一份研究报告显示，三人对 Chrome 商店的安全重点扩展程序 (SNE) 进行了检查。SNE 是指包含恶意软件、违反 Chrome 网上商店政策或包含易受攻击代码的扩展程序。 研究发现，在 2020 年 7 月至 2023 年 2 月期间，有 3.46 亿用户安装了 SNE。其中 6300 万个违反政策，300 万个易受攻击，而这些 Chrome 扩展程序中有 2.8 亿个包含恶意软件。当时，Chrome 网上应用店中有近 125,000 个扩展程序可用。 研究人员发现，安全的 Chrome 扩展程序通常不会在商店中停留很长时间，一年后只有 51.8 – 62.9% 的扩展程序仍可用。另一方面，SNE 平均在商店中停留 380 天（恶意软件），如果包含易受攻击的代码，则停留 1,248 天。 存活时间最长的 SNE 名为 TeleApp，已存在 8.5 年，最后一次更新是在 2013 年 12 月 13 日，并于 2022 年 6 月 14 日被发现包含恶意软件，随后被删除。 我们经常被建议检查用户评级来确定应用程序或扩展程序是否是恶意的，但研究人员发现，这对于 SNE 的情况没有帮助。 “总体而言，用户不会给 SNE 打低分，这表明用户可能没有意识到此类扩展程序很危险。”作者写道。“当然，机器人也有可能给这些扩展程序打出虚假评论和高分。然而，考虑到一半的 SNE 都没有评论，似乎在这种情况下使用虚假评论并不普遍。” 谷歌表示，专门的安全团队会为用户提供他们安装的扩展程序的个性化摘要，在扩展程序发布到商店之前对其进行审查，并在发布后持续监控它们。研究人员建议谷歌还监控扩展程序的代码相似性。 报告指出：“例如，大约有 1,000 个扩展使用开源 Extensionizr 项目，其中 65% 到 80% 仍在使用六年前最初随该工具打包的默认和易受攻击的库版本。”他们还指出，由于缺乏维护，扩展在漏洞披露后很长时间仍留在商店中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2ZNw6pZsmEwuSg_4311Ucg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，Proofpoint的安全研究人员近期注意到有多个黑客组织正利用虚假的谷歌 Chrome浏览器、Word 和 OneDrive 等程序的运行错误来诱导用户安装运行带有恶意 PowerShell的修复程序。 据观察，这些黑客组织包括 ClearFake和TA571， ClearFake曾利用网站覆盖层，提示访问者安装带有恶意软件的虚假浏览器更新，而TA571以发送大量电子邮件的垃圾邮件分发商而闻名。 Proofpoint观察到三个攻击链，这些攻击链主要在初始阶段存在差异。第一种情况与 ClearFake 相关，当 Chrome 用户访问一个受感染的网站时，会通过币安的智能链合约加载托管在区块链上的恶意脚本。 此脚本会显示虚假的 Google警告，指出显示网页时出现问题，并提示访问者安装“根证书”，将恶意 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell（管理）控制台中运行。 虚假的谷歌浏览器错误 PowerShell 脚本将执行各种步骤来确认设备是有效目标，然后下载其他有效负载，包括刷新 DNS 缓存、删除剪贴板内容、显示诱饵消息、下载另一个远程 PowerShell 脚本并在下载信息窃取程序之前执行反 VM 检查。 第二个攻击链是在被攻击的网站上使用注入程序，创建一个 iframe 来覆盖另一个虚假的 Chrome 浏览器错误。用户被指示打开 “Windows PowerShell（管理员）”并粘贴所提供的代码，从而导致上述相同的感染。 第三个攻击链使用类似 Word 文档的 HTML 附件，提示用户安装 “Word Online “扩展来正确查看文档，所弹出的提示提供了 “如何修复 “和 “自动修复 “选项，其中 “如何修复 “会将一个 base64 编码的 PowerShell 命令复制到剪贴板，指示用户将其粘贴到 PowerShell 中。 虚假的 Word 提示 “自动修复 “使用 search-ms 协议在远程攻击者控制的文件共享上显示 WebDAV 托管的 “fix.msi “或 “fix.vbs “文件。 在这种情况下，PowerShell 命令下载并执行 MSI 文件或 VBS 脚本，分别导致 Matanbuchus 或 DarkGate 感染。 以上三种攻击连都是攻击者利用了目标用户对其系统上执行 PowerShell 命令风险认知的匮乏，他们还利用  Windows 无法检测和阻止粘贴代码发起的恶意操作。 Proofpoint 指出，他们观察到的有效载荷已包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。这些攻击虽然需要大量交互，但每一步操作看起来都足够以假乱真。   转自Freebuf，原文链接：https://www.freebuf.com/news/403837.html 封面来源于网络，如有侵权请联系删除

近日，科技巨头谷歌发布了安全更新，成功解决其 Pixel 设备中存在的 50 个安全漏洞。 值得注意的是，谷歌方面着重提到了一个被追踪为 CVE-2024-32896 的安全漏洞，并指出威胁攻击者可以利用该漏洞非法提升权限，目前安全人员已经发现其在野被利用的证据。 谷歌方面一再强调有迹象表明，CVE-2024-32896 安全漏洞可能已被用于有限的针对性攻击活动。因此，谷歌督促所有 Pixel 用户应立即在设备上安装安全更新，以最大程度上缓解安全风险，保障自身设备的安全。 谷歌此次发布的安全更新还解决了直接影响 Pixel 设备的其他 44 个安全漏洞，其中 7 个是权限升级漏洞，这些漏洞一旦被威胁攻击者利用，可能会引发更大的安全危机。 注意：有关 Pixel 六月份更新的更多信息，请查看谷歌智能手机安全公告。要应用更新，Pixel 用户需要进入 “设置”>”安全与隐私”>”系统与更新”>”安全更新”，点击 “安装”，然后重启设备完成更新过程。 2024 年 4 月，谷歌方面还解决了 Pixel 中的另外两个 0day 漏洞，这些漏洞被取证公司用来在没有 PIN 码或访问数据的情况下解锁手机。CVE-2024-29745 安全漏洞被标记为与 Pixel 引导加载器信息泄露有关的高危漏洞，CVE-2024-29748 被标记为 Pixel 固件中的权限升级漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403559.html 封面来源于网络，如有侵权请联系删除

Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序，通过使用 OpenAI 公开提供的人工智能模型，帮助其用户在 Gmail 服务上撰写电子邮件（用户向该服务提供原始数据和上下文，接收人工智能反馈的内容，以此撰写电子邮件）。然而，最近的一项研究发现，该服务存在一个高危安全漏洞。 据悉，安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报，追踪为 CVE-2024-5184（CVSS 得分为 6.5），是一个 “提示注入 “类型的漏洞，允许威胁攻击者操纵服务并盗取敏感信息，可能引发知识产权泄露、拒绝服务和大额经济损失。 CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服务时，可能会允许威胁攻击者注入第三方提示并操纵服务逻辑，导致泄露系统提示或执行不需要的命令。例如，威胁攻击者可以创建一个嵌入不需要的功能的提示，从而进行数据”挖掘“、使用被入侵的账户发送垃圾邮件或者为邮件列表创建误导性内容。 Synopsys 方面表示，网络安全研究人员在公布 CVE-2024-5184 安全漏洞详细信息之前联系了 EmailGPT 的开发人员，但目前尚未收到任何回复。鉴于当下还没有办法缓解该安全漏洞，Synopsys 建议有关用户应立即从浏览器中删除 EmailGPT。 SlashNext 电子邮件安全公司首席执行官 Patrick Harr 强调，必须对人工智能模型进行严格管理并实施额外的安全措施，以防止安全漏洞及其后续利用。此外，对于一些将人工智能整合到业务流程中的公司，更应该要求人工智能模型供应商提供真正的安全证明，避免安全事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403414.html 封面来源于网络，如有侵权请联系删除

近日，由于谷歌内部机器人“错误操作”，一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。 同时，也有安全专家认为“真实版”谷歌搜索排名机制文档的泄露对黑帽SEO来说也是一次不可多得的“盛宴”。 机密文档被“开源” 泄露文档描述了谷歌内容仓库API的旧版本，披露了谷歌搜索内部运作的幕后（真实）细节。 据悉，这些材料于3月13日左右由谷歌自己的自动化工具无意中提交到一个可公开访问的谷歌GitHub存储库（链接在文末）。该自动化工具在提交时附上了Apache2.0开源许可证，这是谷歌公共文档的标准做法。5月7日的一次后续提交试图撤回这一泄露。 这些文档被搜索引擎优化（SEO）公司EA Digital Eagle的首席执行官Erfan Azimi发现，并于上周日由其他SEO从业者——SparkToro的首席执行官Rand Fishkin和iPullRank的首席执行官Michael King披露。 从技术上讲，由于谷歌是在Apache2.0许可下发布的文档，这意味着任何偶然发现这些文档的人都获得了“永久、全球、非独占、免费、免版税、不可撤销的版权许可”，因此这些文档现在可以在线免费获取（链接在文末）。 泄露文档样本 欺骗 SEO 行业多年 这些泄露文档不包含代码，主要描述了如何使用谷歌内容仓库API（GoogleApi.ContentWarehouse，可能仅供内部使用）；泄露的文档包括大量对内部系统和项目的引用。虽然谷歌云API中有一个同名的公共API，但GitHub上泄露的内容显然超出了这个范围。 这些文件揭示了谷歌在网页相关性排名中优先考虑的因素（与公开规则有出入），这也是SEO行业和网站运营者们长期关注的问题。 这批超过2500页的文档详细描述了与API相关的14000多个属性，但由于这些属性是否被使用，以及是否重要的信息很少。因此，很难辨别谷歌在其搜索结果排名算法中给这些属性分配的权重。 但上述SEO专家认为，泄露文档包含了大量颇具价值的细节，因为它们与谷歌多年来的公开声明并不完全一致，甚至是矛盾的。 “这些细节与谷歌多年来的公开声明相矛盾，例如谷歌一再公开（撒谎）否认使用以点击为中心的用户信号，否认在排名中单独考虑子域名，否认对新网站进行沙盒处理，否认收集或考虑域名年龄等。”SparkToro的Fishkin在一份报告中解释道。 iPullRank首席执行官King在文章中提到了谷歌搜索顾问John Mueller的一段视频声明，后者称“谷歌没有类似网站权威评分的东西”——即否认谷歌会评级网站的权威性，并在搜索结果中给与更高排名。 但King指出，泄露文档包含“siteAuthority”站点权威评分。 一个关键的关注点是点击的重要性——不同类型的点击（好点击、坏点击、长时间点击等）在确定网页排名中的作用。在美国政府对谷歌的反垄断审判中，谷歌承认点击指标是网页搜索排名的一个因素。 另一个发现是谷歌使用Chrome浏览器中浏览的网站作为质量信号，在API中显示为参数ChromeInTotal。“与页面质量评分相关的一个模块包含来自Chrome浏览器的站点级视图衡量标准，”King解释道。 此外，文件还显示谷歌考虑了其他因素，如内容新鲜度、作者身份、页面是否与网站的核心内容相关、页面标题与内容的一致性以及文档正文中术语的平均加权字体大小。 这些泄露的文档不仅揭示了谷歌搜索排名的复杂机制，还暴露了谷歌内部机制与公开声明的表里不一。这些信息对SEO行业和网站运营者来说无疑是宝贵的洞见，当然，对于黑帽SEO来说更是如此。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16528.html 封面来源于网络，如有侵权请联系删除

谷歌将在今年晚些时候推出多种防盗和数据保护功能，其中一些功能仅适用于 Android 15 及以上版本的设备，另一些功能将推广到数十亿运行 Android 10 及以上版本的设备。 为了在设备被盗或丢失时保护您的个人敏感数据，一款名为 “盗窃检测锁 “的全新人工智能自动屏幕锁会在检测到与盗窃企图相关的动作时锁定屏幕，比如小偷从您手中抢走设备的动作。 为进一步确保窃贼无法访问您的敏感数据和应用程序，另一项名为 “离线设备锁 “的新功能会在窃贼断开设备与网络连接后不久，或在检测到太多次失败的身份验证尝试时自动锁定设备。 谷歌还宣布推出远程锁定功能，帮助那些安卓设备被盗的用户仅凭电话号码和安全挑战就能远程锁定智能手机或平板电脑。要使用该功能，您可以访问 android.com/lock了解详情。 谷歌副总裁 Suzanne Frey 表示：这为用户恢复账户信息和访问’查找我的设备’中的其他有用选项赢得了时间，包括发送完全出厂重置命令以彻底清除设备。 盗窃检测锁、离线设备锁和远程锁将通过今年晚些时候推出的 Google Play 服务更新在运行 Android 10 或更高版本的设备上提供。 正如在2024年谷歌I/O大会上所宣布的，新发布的安卓15系统还将升级出厂重置保护功能，通过在设置过程中要求用户提供谷歌账户凭证，使被盗设备很难或无法出售。 这次升级后，窃贼无法再强行重置被盗设备，这使得被盗设备无法出售，从而减少了手机盗窃的诱因。 在尝试从不受信任的位置访问或更改关键的谷歌账户和设备设置，如更改 PIN 码、访问密码钥匙或禁用防盗保护时，安卓系统也会要求输入 PIN 码、密码或生物识别身份验证。 同样，禁用 “查找我的设备 “或延长设备屏幕超时也需要输入 PIN 码或密码，或使用某种形式的生物识别验证。 这又增加了一层安全保护，旨在防止偷窃你设备的犯罪分子将你的设备 “解锁或无法在线追踪”。 此外，新的安卓版本还将包括所谓的 “私人空间”，可以使用自己选择的 PIN 码锁定，以防止窃贼访问存储在应用程序中的敏感数据，如健康或财务信息。 出厂重置保护更新和私人空间将在今年秋季推出 Android 15 时发布，而增强的身份验证保护功能将于今年晚些时候在部分设备上推出。 在 2024 年谷歌 I/O 大会上，公司还发布了新的 Android 15 和 Google Play Protect 功能，以防止诈骗、欺诈、间谍软件和银行恶意软件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401064.html 封面来源于网络，如有侵权请联系删除

近日，谷歌称其在过去一年时间里从应用商店中封禁了 33.3 万个不良账户，原因是这些账户试图分发恶意软件或屡次违反政策。同时，谷歌还拒绝了近 20万个提交到 Play Store的应用程序，以解决访问位置或短信等敏感数据的问题。 谷歌的Steve Kafka、Khawaja ShamsMohet Saxena 表示：2023年谷歌共阻止了228万个违反政策的应用程序在Google Play上发布。这主要得益于谷歌全新改进的安全功能、政策更新以及先进的机器学习和应用程序审查流程。 谷歌的这项执法工作以所谓的 SAFE 原则为基础，SAFE 原则包括：保护用户、倡导开发者保护、促进负责任的创新、加强平台防御。 最近推出的审查和安全措施加强了对恶意提交内容的识别和对 Google Play 上已有风险内容的删除，这些措施包括： 更严格的开发者注册和身份验证流程 为 Android VPN 应用程序引入独立的安全审查和徽章 增加实时扫描功能，阻止恶意软件执行 固件加固，使 SoC 级缺陷更难被利用 扩展 SDK 索引（现已覆盖 600 万个应用程序），帮助开发人员为其项目选择安全的 SDK 除了封禁了近 230 万个应用和暂停 33.3 万个违规发布商之外，谷歌还拒绝了 20 万个无正当理由请求访问短信内容和后台位置数据等风险权限的应用提交请求。 此外，谷歌还表示加强了开发者入职和审查流程，开始要求他们提供更多身份信息，并在设置 Play 控制台开发者账户时完成验证流程。这能够使其更好地了解开发者社区，并根除不良行为者利用该系统传播恶意应用程序的行为。 近年来，谷歌正在积极采取一系列措施以确保安卓生态系统的安全。 去年 11 月，谷歌将其于 2019 年 11 月发起的应用程序防御联盟转移到 Linux 基金会旗下，Meta 和微软也加入成为创始指导成员。 大约在同一时间，谷歌在代码层面推出了实时扫描功能，以应对新型安卓恶意软件，并在 Play Store 的数据安全版块为经过移动应用安全评估（MASA）审核的 VPN 应用提供了 “独立安全审查 ”徽章。 在面向用户的方面，谷歌也采取了措施，从 Play Store 下架了约 150 万个不针对最新 API 的应用程序。 此外，Google 还与 31 家 SDK 提供商合作，确保仅从安装了这些 SDK 的应用的设备中收集和共享最少量的敏感信息。 谷歌表示，这一举措直接影响了 Google Play 上可用的 79万应用程序，这意味着可能有数千万甚至更多用户。 就在上个月，研究人员在 Google Play 上发现了 17 个“免费”VPN 应用程序，这些应用程序使用恶意货币化 SDK，劫持 Android 设备充当不知情的住宅代理，可能用于网络犯罪和购物机器人。 谷歌建议 Android 用户仅从 Google Play 采购他们的应用程序，并避免从未经审查的第三方商店下载的 APK 应用程序安装软件。 同时，广大用户也应定期检查设备上的 Play 保护机制是否处于活动状态，定期检查后台电源和数据消耗以识别可疑进程，并移除授予应用核心功能不需要的权限。   转自Freebuf，原文链接：https://www.freebuf.com/news/399838.html 封面来源于网络，如有侵权请联系删除

作为后量子时代的标志性产品，谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。 该Chrome版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768，用于保护用户免受即将到来的量子破解威胁。然而，这项新技术却由于兼容性问题导致TLS连接中断，很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。 “先存储，后解密”攻击 早在去年8月，谷歌就开始测试代号“Kyber768”的抗量子密钥协商算法，并计划将其整合至最新的Chrome版本中。理论上，Kyber768可以保护基于TLS 1.3和QUIC连接的Chrome流量，使其免遭未来量子计算机的破解。经过数月的兼容性和性能影响测试，我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换，”谷歌Chrome安全团队解释道：“这项技术可以保护用户流量免受‘先存储，后解密’（黑客大量收集囤积加密的网络流量数据，等未来量子计算机成熟后进行解密）攻击的威胁。” “先存储，后解密”攻击是数据安全面临的一个巨大潜在威胁。为了防范此类攻击，许多企业已经开始在其网络架构中加入抗量子加密技术。苹果、Signal和谷歌等科技巨头均已率先采用了抗量子算法。 大量防火墙、服务器、网络设备产生兼容问题 然而，根据系统管理员们的反馈，自上周Google Chrome 124和微软Edge 124桌面版推出以来，一些网络应用、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。 “该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力，”一位管理员表示：“同样的问题也出现在了新版Edge浏览器上，似乎与派拓网络（Palo Alto Networks）防火墙产品的的SSL解密功能存在冲突。” 据报道，该兼容性问题的影响面非常大，多个供应商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全设备、防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。 值得注意的是，这些错误并非源于Google Chrome本身的漏洞，而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议，无法处理用于抗量子加密的更大ClientHello消息。 这些不支持X25519Kyber768算法的网络设备，不会尝试降级至经典加密方案，而是直接拒绝使用Kyber768算法建立的连接。 TLS连接中断问题的解决方法 一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息，并为开发者提供了修复漏洞的指南。 网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后，管理员可以尝试连接到自己的服务器，并查看是否会产生“ERR_CONNECTION_RESET”错误。 受影响的Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。 系统管理员还可以通过以下方式进行修复：在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略；或者联系网络设备供应商，获取适用于其服务器或中间件的更新补丁，以使其兼容抗量子加密标准。 微软也发布了相关信息，指导用户如何通过Edge浏览器组策略控制此功能。 需要注意的是，从长远来看，TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gAIVGiENWMgkqyUJQefHRg 封面来源于网络，如有侵权请联系删除

Google 宣布在 Chrome 网络浏览器中支持所谓的 V8 沙盒。该公司将 V8 沙盒纳入 Chrome 的漏洞奖励计划 (VRP)。 Chrome 123 是沙盒的一种“测试版”版本，旨在缓解 Javascript 引擎中的内存损坏问题。 V8 沙箱旨在防止内存损坏问题，从而影响进程中的其他内存区域。 2021 年至 2023 年间，几乎所有在野外观察到的Chrome 漏洞都会触发 Chrome 渲染器进程中的内存损坏问题，该进程被用于远程代码执行 (RCE)。其中大部分问题 (60%) 影响了 V8 Javascript 引擎。 “V8 漏洞很少是“经典”内存损坏错误（释放后使用、越界访问等），而是微妙的逻辑问题，这些问题反过来可以被利用来损坏内存。因此，现有的内存安全解决方案大部分不适用于 V8。”公告中表示， “特别是，无论是 切换到内存安全语言（例如 Rust），还是使用当前或未来的硬件内存安全功能（例如 内存标记），都无法帮助解决 V8 当前面临的安全挑战。” 研究人员强调，几乎所有 V8 漏洞的一个共同点是最终内存损坏发生在 V8 堆内。这主要是因为编译器和运行时主要处理 V8 HeapObject 实例。 为了缓解此类漏洞，研究人员设计了一种技术来隔离 V8 的（堆）内存，以防止内存损坏扩散到进程内存的其他部分。 “沙箱通过将 V8 执行的代码限制在进程虚拟地址空间（“沙箱”）的子集内，从而将其与进程的其余部分隔离，从而限制了典型 V8 漏洞的影响。这纯粹在软件中起作用（带有硬件支持选项，请参阅下面链接的相应设计文档），通过有效地将原始指针转换为距沙箱底部的偏移量或转换为沙箱外指针表的索引。原则上，这些机制与现代操作系统使用的用户态/内核分离非常相似（例如unix文件描述符表）。” 谷歌表示： “沙箱假设攻击者可以任意同时修改沙箱地址空间内的任何内存，因为该原语可以从典型的 V8 漏洞构建。此外，假设攻击者能够读取沙箱外部的内存，例如通过硬件侧通道。然后，沙箱旨在保护进程的其余部分免受此类攻击者的侵害。因此，沙箱地址空间之外的任何内存损坏都被视为沙箱违规。” 基于软件的沙箱 用“沙箱兼容”替代方案替换了可以访问沙箱外内存的数据类型。 在基于软件的沙箱中，只有 V8 堆被封闭在沙箱内。因此，整体结构类似于WebAssembly 采用的沙箱模型。 研究人员表示，沙箱产生的大部分开销主要来自外部对象的指针表间接。一个较小的开销与使用偏移量而不是原始指针有关，主要涉及移位+添加操作，无论如何这是相当便宜的。根据使用 Speedometer 和 JetStream 基准套件的测量结果确定，沙箱的开销约为标准工作负载的 1% 或更少。因此，V8 Sandbox 可以在兼容平台上默认激活。 “必须在构建时使用构建标志启用/禁用 V8 沙箱 v8_enable_sandbox 。（由于技术原因）不可能在运行时启用/禁用沙箱。 V8 Sandbox 需要 64 位系统，因为它需要预留大量虚拟地址空间，目前为 1 TB。”公告总结道。 “大约在过去两年里，V8 沙盒已经在 Android、ChromeOS、Linux、macOS 和 Windows 上的 64 位（特别是 x64 和 arm64）版本的 Chrome 上默认启用。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/_UhdYJiOBpD4nBB4zfkvsQ 封面来源于网络，如有侵权请联系删除

近日，有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件，这次他们利用广告跟踪功能，向企业用户发送 Slack 和 Notion 等流行协作群件的虚假广告。 本周，AhnLab 安全情报中心（ASEC）的研究人员发布的文章中提到，黑客利用了统计功能嵌入传播恶意软件（包括 Rhadamanthys 窃取程序）的 URL。该功能允许广告商在广告中插入外部分析网站地址，以收集和使用访问者的访问相关数据来计算广告流量。 但研究人员发现，黑客并没有插入外部统计网站的 URL，而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。但根据ASEC的说法，当这些广告仍处于“活动”状态时，如果用户不小心点击了横幅广告，仍然会跳转到下载恶意文件的页面。 在类似的攻击活动中，Rhadamanthys 伪装成了企业常用的安装程序。一旦恶意软件被安装和执行，它就会从黑客的服务器下载恶意文件和有效载荷。 重定向到窃取下载 ASEC 的帖子详细介绍了黑客是如何精心策划的这一活动。 该活动使用的典型安装程序是 Inno Setup 安装程序或 Nullsoft Scriptable Install System (NSIS) 安装程序；具体而言，黑客使用了以下可执行文件： Notion_software_x64_.exe、Slack_software_x64_.exe、Trello_software_x64_.exe 和 GoodNotes_software_x64_32.exe。 ASEC在其发布的博文中提到：恶意软件一旦被执行，就会使用可以保存文本的网站（如textbin或tinyurl）来访问恶意有效载荷地址。同时，他们还列出了黑客用来获取这些地址的URL，这些地址随后会被发送给用户。 据 ASEC 称，该活动的最终有效载荷是 Rhadamanthys 窃取程序，它会通过”%system32%”路径注入到合法的 Windows 文件中。研究人员指出，这使得窃取程序可以在用户不知情的情况下窃取用户的私人数据。 Rhadamanthys一个非常受黑客欢迎的信息窃取软件，可以在暗网上通过恶意软件即服务的模式购买。它是一个典型的窃取程序，可用于收集系统信息，如计算机名称、用户名、操作系统版本和其他机器详细信息。它还会查询已安装浏览器（包括 Brave、Edge、Chrome、Firefox、Opera Software）的目录，搜索并窃取浏览器历史记录、书签、cookie、自动填充、登录凭证和其他数据。 警惕广告提供的 URL 事实上，这并非黑客首次滥用谷歌广告及其相关功能来传播 Rhadamanthys 和其他恶意软件，也很可能不是最后一次。去年 1 月，就曾有研究人员发现的黑客使用了谷歌广告的网站重定向和流行远程工作软件（如 Zoom 和 AnyDesk）的虚假下载诱饵来传播 Rhadamanthys。 黑客甚至还会滥用该服务的 “动态搜索广告 “功能，通过创建有针对性的广告来发送大量恶意软件，从而扩大恶意活动的效果。 ASEC警告称，由于 “所有提供追踪功能以计算广告流量的搜索引擎都可能被用来传播恶意软件”，因此用户在访问谷歌提供的广告链接时必须保持警惕。用户应 “注意访问网站时看到的 URL，而不是广告横幅上显示的 URL”，以避免落入恶意活动的圈套。 此外，ASEC 还发布了一份与该活动不同阶段相关的 URL 综合列表，以帮助管理员识别是否有企业用户受到该活动的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396864.html 封面来源于网络，如有侵权请联系删除