目前浏览器制造商正在为浏览器增加更多的功能，并为浏览器提供更多硬件访问。  Google 甚至还基于 Web 浏览器创建了一个完整的操作系统。而现在，恶意软件作者正在争先恐后地利用这些功能。目前更狡猾的是一款基于浏览器的挖矿软件在用户关闭浏览器的情况下，还利用用户的硬件挖掘数字货币。 安全研究人员发现了一个基于 Javascript 的专门针对加密货币的挖掘程序Coinhive。使用 Javascript，Coinhive 能够将代码隐藏到网站中，并使用浏览器打开一个微小窗口隐藏在用户电脑系统状态栏下方，访问电脑硬件来开始挖掘，它会加速受害者用户电脑 CPU 老化，并减慢用户系统运行速度。 好消息是，现在至少用户可以很容易地解决和避免这种问题。当用户关闭浏览器之后，转到 Windows 任务管理器，并检查是否仍然有任何浏览器进程，并且强制结束这些浏览器进程，然后尽量避免访问可疑的网站。 稿源：cnBeta.com， 封面源自网络；编辑：FOX

上个月，媒体曝光了 “海盗湾（The Pirate Bay）” 利用网页内嵌的 JavaScript 程序将浏览者的电脑作为其挖掘虚拟货币工具的消息。当网友浏览 “海盗湾” 网站时，他的电脑的 CPU 占有率将会出现大幅飙升甚至可能 100% 满载负荷运行。对此，海盗湾给出的解释是他们正在测试另一种获得收入的方式。 尽管这种行为遭到强烈不满，但海盗湾似乎还是再次用上了这个虚拟货币挖矿工具，只不过这次它不像之前测试那么明显。据了解，这个挖矿工具通过一个 adscript 运行，也就是说，如果用户的浏览器安装了一个 adblocker 的话，那么在访问海盗湾网站时将不会受到影响。而为了不让用户在不知情的事情被利用挖矿，Adblock Plus 公布了一份脚本。 用户在海盗湾无法找到退出挖矿的选项，同时他们也不会得到其 CPU 正在被用于挖矿的通知。不过这种行为很有可能是某流氓广告商的行为而非来自海盗湾自身，然而因为海盗湾未作任何回应所以背后的真相如何现在还无法得知。 稿源：cnBeta，封面源自网络；

据外媒 9 月 3 日报道，网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现，一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示，受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上，受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档，其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露，该恶意程序代码于 8 月 30 日被研究人员发现，随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站，也不了解有多少受害者已被感染，研究人员表示还将继续展开调查。不过，Anubhav 认为，该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件，以感染整个网站内部系统。 原作者：Pierluigi Paganini，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现，竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库，存在被黑客利用的潜在安全隐患（比如 jQuery 和浏览器 AngularJS 框架）。他们在一篇新报告中指出，在适当的条件下，这些漏洞会变得极其危险，比如指向一个老旧的 jQuery 跨站脚本 bug（攻击者可借此向受害站点注入恶意脚本）。 研究人员们随机查看了 Alexa 排名前 7.5 万的站点（以及 7.5 万个随机 .com 域名），统计到了有 72 个不同的 JS 库版本 —— 87% 的 Alexa 站点（以及 46.5% 的 .com 站点）使用了其中一个。 研究发现，36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患；此外还有 9.7% 的站点包含 2 个（及 2 个以上的）漏洞库版本。 万幸的是，热门站点在这方面做得相对更好（用漏洞库的比例低很多），Top 100 Alexa 站点中只有 21% 躺枪。但遗憾的是，只有少量站点（2.8% 的 Alexa、1.6% 的 .com）可以通过免费补丁进行更新修复，因为大版本的跃迁（比如从 1.2.3 到 1.2.4）可能会无法向后兼容。 稿源：cnBeta；封面源自网络

阿姆斯特丹自由大学系统及网络安全小组 VUSec 本月 15 日揭露了一项攻击技术，可绕过 22 款处理器的 ASLR 保护，波及 Intel、AMD、Nvidia 及 Samsung 等处理器品牌。 ASLR 是许多操作系统的预设安全机制，它在虚拟位址空间中随机配置应用程序的代码与资料，以提高黑客的攻击门槛，被视为保护网络用户的第一道防线。而 ASLR 的限制正是现代处理器管理内存的基础，VUSec 研究人员打造了一个 JavaScript 攻击程序可完全去除 ASLR 对处理器所带来的安全保障。 研究人员解释称，处理器中的内存管理单元（MMU）是借由快取阶层来改善搜寻页表的效率，但它同时也会被其他程序利用，像是浏览器中所执行的JavaScript。于是他们打造了名为 ASLRCache（AnC）的旁路攻击（side-channelattack）程序，可在 MMU 进行页表搜寻时侦测页表位置。 安全研究人员开发了 AnC 的原生版本与 JavaScript 版本，通过原生版本来建立可在 22 款处理器上观察到的 MMU 讯号，再以 JavaScript 版本找出 Firefox 及 Chrome 浏览器上的程序码指标与堆积指标，计算出档案的实际位址，最快只要 25 秒就能让 ASLR 的保护消失无踪。 现阶段 VUSec 已释出 AnC 的原生版本以供研究使用，但为了维护网络使用者的安全，并不打算发表 JavaScript 版本。即便如此，研究人员仍然预期任何拥有较高能力的黑客在几周内就可复制相关的攻击程序。VUSec 警告，由于 AnC 攻击程序利用的是处理器的基本属性，现在是无解的，对使用者而言，唯一的防范之道就是不执行可疑的 JavaScript 程式，或是直接在浏览器上安装可封锁 JavaScript 的插件。 其实 AnC 早在去年 10 月就出炉了，但当时 VUSec 决定先行知会相关业者，包括处理器、浏览器与操作系统领域，一直到本周才对外公开。 稿源：cnBeta；封面源自网络

据卡巴斯基实验室周四报道，被称为“ Turla ”的俄罗斯网络间谍组织正在使用一种新的 JavaScript 恶意软件针对欧洲外交部机构。 Turla 是一个俄罗斯网络间谍 ATP 组织（也称为 Waterbug 、Venomous Bear、KRYPTON ）自 2007 年以来一直处于活跃状态，主要针对欧洲的外交部等政府组织和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部。 去年 11 月，卡巴斯基实验室和微软发现了一种新的恶意软件“ KopiLuwak ”，据博客中介绍它使用多个 JavaScript 层来逃避检测。恶意代码通过在目标机器上创建注册表项以获得持久性。一旦感染了目标系统，恶意代码可执行一系列命令并收集信息，被窃取的数据将被加密并存储在一个临时文件中。恶意软件的 C＆C 服务器 IP 地址以硬编码的形式存储在恶意代码中，并允许操作者通过 Wscript.shell.run() 执行任意命令。恶意软件仍利用 Office 文档的宏功能、借助钓鱼邮件传播。 目前已发现了一个受害者：攻击者伪装成卡塔尔驻塞浦路斯大使馆向塞浦路斯政府外交机构发送 “ 国庆招待会（ Dina Mersine Bosio 大使的秘书）.doc ”公函文件。卡巴斯基的研究人员认为恶意软件“ KopiLuwak ”将在未来更多地被使用。 从内容上推断，它可能是卡塔尔大使的秘书发送给塞浦路斯外交事务机构的。这意味着攻击者至少控制了一个卡塔尔外交部网络系统，从而发送钓鱼邮件。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

据外媒报道，Gmail 将很快部署阻止 JavaScript 电邮附件运行的措施。从 2 月 13 日起，用户将无法再添加 .js 类型的附件，因其被很多形式的恶意攻击所利用。如果用户不小心下载了一个恶意 JavaScript 文件，攻击者可以利用它来获得 PC 的访问权限，窃取数据或执行其它破坏性操作。 Android Police 指出，JavaScript 已成为继 .exe .bat .msc 之后，被 Gmail 严格限制分享的又一个附件类型。虽然此举无法彻底杜绝被嵌入 .zip 等压缩包中的恶意文件，但斩断直接发送的途径，对大多数普通用户来说确实是件有助于提升 Gmail 邮件服务安全性的好事。 如果有特殊的需求，也可以考虑通过谷歌网盘或云存储等方式，发送和分享一个 JavaScript 文件。试图发送此类附件的 Gmail 用户，将会看到一则“禁止上传”的警告提示。 稿源：cnbeta 有删改；封面：百度搜索

去年研究人员 警告 广告公司正在研发利用人耳听不见的声音实现跨设备跟踪的技术，利用嵌入在广告代码或 JavaScript 中的超声波信号联络附近的平板和手机，这些声音耳朵听不见，但智能设备能探测到。利用这一方法，跟踪代码可以将单一用户与多台设备配对起来，跟踪用户在不同设备上看到的广告。 在上周举行的 33C3 黑客会议上，研究人员认为这项技术可被用于识别使用  Tor 浏览器用户的身份。攻击依赖于诱骗  Tor 浏览器用户访问一个含有产生超声信号的广告网页，或者访问一个隐藏了 JavaScript 代码利用 HTML5  Audio  API 强迫浏览器发出超声信号的网页。 稿源：solidot奇客，有改动；封面：百度搜索