谷歌周二宣布了一项安全更新，解决了 Chrome 浏览器中的 oday 漏洞。  这个高严重性问题被追踪为 CVE-2023-6345，被描述为 Skia 中的整数溢出错误。Skia 是一个开源 2D 图形库，在 Chrome、Firefox 和其他浏览器中充当图形引擎。  这家互联网巨头在其公告中指出，“谷歌意识到 CVE-2023-6345 的漏洞存在”，但没有提供有关所观察到的漏洞利用的具体细节。  然而，该公司表示，该漏洞是由 Google 威胁分析小组 (TAG) 的 Benoît Sevens 和 Clément Lecigne 报告的，这表明该漏洞可能被间谍软件供应商利用。  在过去的几个月里，Google TAG 研究人员发现了商业监控软件供应商利用的其他几个零日漏洞，包括CVE-2023-5217，Chrome 中的堆缓冲区溢出，已于 9 月底修复。  最新的 Chrome 更新还修复了其他五个高严重性漏洞，包括 Mojo、WebAudio 和 libavif 中的三个释放后使用问题、拼写检查中的类型混淆错误以及 libavif 中的越界内存访问缺陷。  谷歌表示，已向报告研究人员发放了 55,000 美元的奖金，其中最高奖金（31,000 美元）授予了 360 漏洞研究所的 Leecraso 和Guang Kong，原因是 Mojo 漏洞（CVE-2023-6347）。  根据该公司的政策，对于 Google Project Zero 和 Google TAG 研究人员报告的拼写检查和 Skia 缺陷，不会发放任何错误赏金奖励。CVE-2023-6345 是继CVE-2023-5217、CVE-2023-4762、CVE-2023-4863、CVE-2023-3079、CVE-2023-2033和CVE- 2023-2136。  谷歌在 9 月份修补了 CVE-2023-4762，当时它并不知道存在野外利用，但后来表示，在修复程序发布之前可能就存在针对该漏洞的利用。最新的 Chrome 版本现已向用户推出，适用于 macOS 和 Linux 的版本为 119.0.6045.199，适用于 Windows 的版本为 119.0.6045.199/.200。 转自安全客，原文链接：https://www.anquanke.com/post/id/291556 封面来源于网络，如有侵权请联系删除

黑客利用谷歌的动态搜索广告（DSAs）技术，诱导希望下载WinSCP等合法软件的用户安装恶意软件。DSAs技术能够根据网站内容自动生成广告，黑客利用这一特性提供恶意广告，将用户引导至一个遭受入侵的WordPress网站gameeweb[.]com，该网站会将用户重定向至攻击者控制的钓鱼网站。 这一复杂的多阶段攻击链的最终目标是诱使用户点击伪装成WinSCP官方网站的winccp[.]net，并下载恶意软件。 从gaweeweb[.]com网站到假冒的winsccp[.]net网站的流量取决于正确设置的引用头。如果引用头不正确，用户将被”Rickrolled”，并被重定向到臭名昭著的Rick Astley YouTube视频。 最终的恶意载荷以ZIP文件（”WinSCP_v.6.1.zip”）的形式存在，其中包含一个安装可执行文件。当该文件启动时，它会利用DLL侧载功能加载并执行存档中名为python311.dll的DLL文件。 该DLL文件会下载并执行一个合法的WinSCP安装程序，以维持欺诈行为，并在后台偷偷运行Python脚本（”slv.py”和”wo15.py”）以触发恶意行为。 此次恶意事件的攻击目标仅限于需要下载WinSCP软件的人。根据托管恶意软件的网站上使用的地理阻断功能显示，美国用户是此次攻击的主要受害者。 这并不是谷歌的动态搜索广告首次被滥用来传播恶意软件。上个月，Malwarebytes揭露了一起恶意事件，该事件涉及的网站通过向搜索PyCharm的用户提供指向黑客网站的链接，为部署窃取信息的恶意软件铺平了道路。 另外，Malwarebytes还揭示了2023年10月信用卡盗刷活动的上升趋势。据估计，该活动已入侵数百个电子商务网站，其目的是通过注入逼真的虚假支付页面来窃取财务信息。   转自E安全，原文链接：https://mp.weixin.qq.com/s/AEB5giyQcSkXn1ioOq7ZHg 封面来源于网络，如有侵权请联系删除

谷歌发布警告称，近日有多名黑客在网络上共享一个概念验证(PoC)漏洞，该漏洞可利用其Calendar服务来托管命令与控制(C2)基础设施。 2023 年 6 月， 谷歌 Calendar RAT (GCR)首次在 GitHub 上发布，该工具能够利用 Gmail 帐户将谷歌 Calendar Events用于C2上。 此脚本的开发者和研究员Valerio Alessandroni表示：该脚本利用Google Calendar中的事件描述创建了一个名为MrSaighnal的隐秘通道，该通道可直接连接到谷歌。 谷歌在第八版Threat Horizons 报告中提到，目前并未观察到该工具有在野外被使用的情况，但Mandiant威胁情报部门发现目前有几个PoC的威胁行为者有在地下论坛上分享相关内容。 谷歌方面表示：GCR 在受感染的机器上运行会定期轮询 Calendar 事件描述，然后执行获取到的新命令，输出更新事件描述。由于该工具只在合法基础设施上运行，因此防御者很难及时地发现可疑活动。 这证明威胁行为者对于滥用云服务这件事还是比较感兴趣的。比如某伊朗民族国家行为者，就曾利用宏文档，通过一个代号为 BANANAMAIL 的 Windows NET 后门程序入侵了用户，并借助电子邮件控制了C2。 谷歌方面表示：这个后门程序会利用 IMAP 连接攻击者控制的网络邮件账户，在那些账户中完成解析邮件以获取命令、执行命令，最终将包含解析结果的邮件重新发回。谷歌的威胁分析小组称现已禁用那些被攻击者控制Gmail 账户，以防止这些账户被其利用作为通道使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/383056.html 封面来源于网络，如有侵权请联系删除

谷歌宣布扩大其漏洞奖励计划（VRP），以补偿研究人员发现针对生成人工智能（AI）系统的攻击场景，以增强人工智能的安全性。 谷歌的 Laurie Richardson 和 Royal Hansen表示：“与传统数字安全相比，生成式人工智能引发了新的、不同的担忧，例如可能存在不公平偏见、模型操纵或数据误解（幻觉）。” 范围内的一些类别包括即时注入、训练数据集中敏感数据的泄漏、模型操纵、触发错误分类的对抗性扰动攻击和模型盗窃。 值得注意的是，谷歌今年 7 月初成立了人工智能红队，作为其安全人工智能框架 ( SAIF ) 的一部分，帮助解决人工智能系统面临的威胁。 作为其对安全 AI 承诺的一部分，还宣布努力通过现有的开源安全计划（例如软件工件供应链级别 (SLSA) 和Sigstore）来加强 AI 供应链。 谷歌表示：“数字签名，例如来自 Sigstore 的数字签名，可以让用户验证软件没有被篡改或替换。” “诸如 SLSA 来源之类的元数据告诉我们软件中包含什么以及它是如何构建的，从而使消费者能够确保许可证兼容性、识别已知漏洞并检测更高级的威胁。” 这一发展正值 OpenAI推出了一个新的内部准备团队，以“跟踪、评估、预测和保护”生成型人工智能的灾难性风险，涵盖网络安全、化学、生物、放射性和核 (CBRN) 威胁。 两家公司与 Anthropic 和微软一起还宣布设立1000 万美元的人工智能安全基金，专注于促进人工智能安全领域的研究。     转自安全客，原文链接：https://www.anquanke.com/post/id/291088 封面来源于网络，如有侵权请联系删除  

谷歌暂时禁止 其地图和位智应用程序查看以色列和有争议的加沙地带的实时交通状况。 这是应以色列军队的要求，鉴于最近与巴勒斯坦的公开对抗而做出的。 谷歌发言人表示：“正如我们在之前的冲突中所做的那样，为了应对该地区不断变化的局势，出于对当地社区安全的担忧，我们暂时禁用了查看实时交通状况和交通信息的能力。 ” 据知情人士透露，做出这一决定是因为实时交通数据可以揭示以色列军队的动向。去年，谷歌已经针对另一场众所周知的冲突采取了类似的措施。 虽然实时交通显示被禁用，但使用导航系统的驾驶员仍会收到基于当前情况的预计到达时间，但带有路线彩色部分的交通可视化将不可用。 以色列科技网站GeekTime最先报道了这一进展，称苹果的地图应用程序也遵守了以色列军队的要求。苹果和以色列国防军的代表尚未对此事发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/290978 封面来源于网络，如有侵权请联系删除

目前，谷歌正为Chrome浏览器测试一项新的“IP保护”功能。因为该公司认为用户IP地址一旦被黑客滥用或秘密跟踪，都可能导致用户隐私信息泄露。 而这项功能可通过代理服务器屏蔽用户的IP地址，以增强用户的隐私性，这样就可以尽量在确保用户的隐私和网络的基本功能之间取得平衡。 IP 地址允许网站和在线服务跟踪跨网站的活动，从而便于创建持久的用户档案。与第三方 cookie 不同的是，用户目前没有直接的方法来躲避这种隐蔽的跟踪，这就造成了严重的隐私问题。 谷歌提出的 IP 保护功能是什么？ 虽然 IP 地址是潜在的跟踪载体，但它们也是路由流量、防止欺诈和其他重要网络任务等关键网络功能不可或缺的部分。 IP 保护 “解决方案通过代理服务器路由来自特定域的第三方流量，使这些域看不到用户的 IP 地址，从而解决了这一双重问题。随着生态系统的发展，”IP 保护 “也将不断调整，以继续保护用户免受跨站跟踪，并在代理流量中添加更多域。 关于 IP 保护功能的描述中曾提到：Chrome 浏览器正在重新引入一项建议，以保护用户免受通过 IP 地址进行的跨站跟踪。该建议是一种隐私代理，可对符合上述条件的流量进行 IP 地址匿名化处理。 前期IP 保护将作为一项可选择功能，确保用户可以控制自己的隐私，谷歌将会同时监控用户的行为趋势。这个功能的实施将分阶段进行，以适应地区性考虑并确保学习曲线。 第一阶段被称为 “第 0 阶段”，谷歌将使用专有代理将请求代理到自己的域名。这将有助于谷歌测试系统的基础设施，并为微调域名列表争取更多时间。 初期只有登录谷歌 Chrome 浏览器且 IP 位于美国的用户才能访问这些代理服务器。然后经过选择的一组客户端将自动纳入此次初步测试，但随着测试的深入，架构和设计也将随之调整。为了避免潜在的IP滥用，谷歌运营的认证服务器将向代理分发访问令牌，并为每个用户设定配额。 在下一阶段，谷歌计划采用两跳代理系统，以进一步提高隐私性。第二个代理将由外部 CDN 运行，而谷歌运行第一跳。这样可以确保两个代理都看不到客户端的 IP 地址和目的地。 由于许多在线服务利用 GeoIP 来确定用户的位置以提供服务，谷歌计划为代理连接分配代表用户 “粗略 “位置而非其具体位置的 IP 地址，如下图所示。 料来源：谷歌 谷歌打算测试该功能的域包括其自己的平台，如 Gmail 和 AdServices。同时，谷歌计划在 Chrome 119 和 Chrome 225 之间测试这一功能。 潜在的安全问题 谷歌方面解释称：新的 IP 保护功能存在一些网络安全问题。由于流量将通过谷歌服务器代理，这可能会使安全和欺诈保护服务难以阻止 DDoS 攻击或检测无效流量。 此外，如果谷歌的某个代理服务器被入侵，威胁者就可以看到并操纵通过该服务器的流量。 为了缓解这一问题，谷歌正在考虑要求使用该功能的用户对代理服务器进行身份验证，防止代理服务器将网络请求链接到特定账户，并引入速率限制以防止 DDoS 攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/381609.html 封面来源于网络，如有侵权请联系删除

谷歌近日宣布了Google Play Protect新的实时扫描功能，使恶意应用程序更难利用多态性逃避检测。 这为所有Android用户提高安全性走出了重要的一步，期待能借此有效减少平台上的恶意软件感染次数。 实时代码扫描 谷歌的Play Protect平台是Android内置的保护系统，专门用于在设备上扫描无用的软件和恶意软件，其每日会进行1250亿次扫描并得出一定数据。 关于 Play Protect 的警告 问题在于，在 Google Play 以外推广的恶意应用程序的作者采用了人工智能和多态恶意软件，它们经常改变恶意程序中的可识别信息，以绕过自动安全平台，使这些扫描失效。 一旦这些应用程序被安装到用户的设备上，它们就会从外部资源获取额外的代码，在后检查阶段完成其恶意功能，而在这一阶段，没有任何机制可以阻止它们。 不过，谷歌在发布后也表示，他们会重新审查应用程序，包括收集动态代码加载的信号，以便在发现这种行为时保护用户。 为此，Google 现在专门增强了 Play Protect 功能，使其能够在代码级执行实时扫描，并增加了对以前未扫描过的应用程序执行扫描的建议。 扫描将从应用程序中提取信号，将其发送到 Play Protect 后端基础架构进行深入的代码级分析，并返回应用程序安全性的结果。 谷歌此前曾表示：他们的安全保护和机器学习算法会从提交至谷歌审查的每个应用程序中进行学习，谷歌会查看大量的信号，并比较每个应用程序的行为。 谷歌 Play Protect 在不断改进每一个被识别的应用程序，这样能够加强谷歌对于整个安卓生态系统的保护。 此外，增强型 Play Protect 扫描仪还将利用静态分析、启发式方法和机器学习来识别表明存在恶意活动的模式，并将从应用程序中提取的信号作为其人工智能驱动分析的关键输入。 尽管如此，仍有一些恶意应用程序可能会通过在下载恶意代码之前增加长时间的延迟或其他行为来躲过新系统的检查。 Google Play Protect 的实时代码级扫描功能现已在印度和其他部分国家推出，并将在未来几个月逐步在全球推广。Play Protect 适用于大多数安卓设备，包括安卓 5 及更高版本，并将定期进行版本更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/381143.html 封面来源于网络，如有侵权请联系删除

Google最近帮助缓解了有记录以来最大的分布式拒绝服务（DDoS）攻击。这一系列攻击发生在 8 月份，采用了基于流多路复用的新型 HPPT/2″快速重置”方法。该事件仅持续了两分钟，但高峰时每秒产生了 3.98 亿个请求（rps）。 从这个角度来看，这次攻击产生的请求量超过了维基百科 9 月份的总浏览量。 Google表示，它能够在网络边缘缓解攻击，确保服务和客户基本不受影响。这种攻击从 8 月份就开始了，随着团队了解了更多关于所使用方法的细节，他们能够更新系统并加强防御。 该搜索巨头表示，任何向互联网提供基于 HTTP 的工作负载的企业或个人都可能面临风险，而且可以使用 HTTP/2 协议进行通信的服务、应用程序和 API 都可能受到攻击。Google已为该攻击提供了补丁，该攻击被追踪为 CVE-2023-44487，严重性高达 7.5 分（满分 10 分）。 Google还在其云博客上发布了关于快速重置技术的深入探讨，供有兴趣的用户了解更多信息：https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps 值得一提的是，Google并不是唯一一家成功缓解了这些新型攻击的科技巨头。最近几个月，亚马逊和微软也对快速重置攻击采取了行动，Cloudflare 也对这一问题发表了看法。 大多数 DDoS 攻击都是为了破坏面向互联网的网站和服务。通过向服务器灌入流量，攻击者可以压垮目标并造成各种问题。一两分钟的宕机时间看起来并不多，但对于运行关键任务应用程序的大型公司来说，这可能是一个非常令人头疼的问题。   转自cnBeta，原文链接：https://www.toutiao.com/article/7288822494918640163/?log_from=befd9dbb545a1_1697076826306 封面来源于网络，如有侵权请联系删除

据不完全统计，使用libwebp组件的下游软件可能超过百万款，或将使其成为下一个Log4Shell漏洞。 有消息称：谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129，终结了安全社区的混乱讨论。该漏洞此前曾被攻击者利用发动零日攻击，并在两周前开始披露和修复。 9月6日，苹果安全工程与架构团队与加拿大研究机构公民实验室共同向谷歌报告。公民实验室安全长期监测并披露那些被滥用于发动针对性间谍软件攻击的零日漏洞。 9月11日，谷歌在首次披露时，将这个漏洞归属为Chrome浏览器漏洞（CVE-2023-4863），没有将漏洞归咎于负责WebP格式图像编解码的libwebp开源库。 谷歌错误地将漏洞标记为Chrome缺陷，导致网络安全社区一片混乱。人们开始质疑，为何谷歌将漏洞归类为Chrome问题，而不是识别为libwebp漏洞。 安全咨询公司Isosceles创始人、曾领导谷歌Project Zero团队的Ben Hawkes还将CVE-2023-4863与苹果于9月7日修复的CVE-2023-41064漏洞联系在一起。后者被滥用于发动零点击iMessage攻击链（称为BLASTPASS），感染已完全修补的iPhone，并安装NSO集团开发的“飞马”商业间谍软件。 新的“满分”严重漏洞 现在，这个漏洞已经分配了新的漏洞编号CVE-2023-5129，并被标记为libwebp的严重漏洞，威胁等级达到最高的满分10分。这一变化对于使用libwebp开源库的其他软件具有重大意义。 漏洞被正式认定为libwebp缺陷，它涉及WebP中的堆缓冲区溢出，影响116.0.5845.187之前的Chrome版本。 这个漏洞位于libwebp用于无损压缩的哈夫曼编码算法内。它使攻击者能够使用恶意构建的HTML页面执行越界内存写入。 这种类型的漏洞利用可能会导致崩溃、任意代码执行、未经授权访问敏感信息等严重后果。 将CVE-2023-5129重新分类为libwebp漏洞非常重要。因为最初，业界未能发现该漏洞对许多使用libwebp的项目构成潜在安全威胁。这些项目包括1Password、Signal、Safari、火狐、Microsoft Edge、Opera和原生安卓网络浏览器等。 修订后的威胁等级说明，上述软件必须尽快处理这一安全漏洞（CVE-2023-5129），确保用户数据安全。   转自安全内参，原文链接：https://www.secrss.com/articles/59273 封面来源于网络，如有侵权请联系删除

Google发布了一个紧急安全更新，修复了一个新出现的 Chrome 浏览器零日安全漏洞。该公司在一份安全公告中宣布：”Google意识到，CVE-2023-4863 的漏洞已被外部利用。这个问题被描述为堆缓冲区溢出，存在于 WebP 图像格式中。” 当程序试图向分配的内存缓冲区写入超过缓冲区实际设计容量的数据时，就会发生堆缓冲区溢出。在某些情况下，这个漏洞可能会让攻击者执行任意代码，这意味着他们可以在受影响的系统上运行自己选择的代码。 苹果安全工程与架构（SEAR）和多伦多大学蒙克学院公民实验室于 2023 年 9 月 6 日发现并报告了这一漏洞。不过，Google没有披露该漏洞的详细信息，也没有提供攻击者如何利用该漏洞的信息。 强烈建议 Chrome 浏览器用户将浏览器更新到最新版本，Mac 和 Linux 版为 116.0.5845.187，Windows版为 116.0.5845.187.188。此更新非常重要，因为它解决了 CVE-2023-4863 漏洞。 新版本目前正向稳定版和扩展稳定版渠道的用户推出，可能在未来几天或几周内向所有用户推出。当我们在 Windows PC 上通过 Chrome 浏览器菜单 > 帮助 > 关于 Google Chrome 浏览器检查新更新时，该更新可供下载。 Google在 8 月份宣布将每周为稳定版 Chrome 浏览器用户发布安全更新后，最新的漏洞又出现了。该公司表示，如果发现安全漏洞在野外被积极利用，它将及时处理并为 Chrome 浏览器发布计划外补丁。   转自cnBeta，原文链接：https://www.toutiao.com/article/7277976038813057575/?log_from=2aa9a72b6c06a_1694586469894 封面来源于网络，如有侵权请联系删除