2022年04月03日
在一场大规模的软件供应链攻击中,一名密码窃取者被发现通过 ChromePass 从 Windows 系统上的 Chrome 窃取凭据。
ChromePass 是一款适用于 Windows 的小型密码恢复工具,可用于查看 Chrome 浏览器存储的用户名和密码。对于每项密码条目,将显示以下信息:源 URL、操作 URL、用户名字段、密码字段、用户名、密码和创建时间。它允许使用者从当前运行的系统或存储在外部驱动器上的用户配置文件中获取密码。
研究人员发现,在 npm 的开源代码仓库中存在一
2022年04月03日
Google 在周二向用户消息推送了 Chrome 电脑浏览器的填补升级,更新后版本信息升到 92.0.4515.159,该版本号为 Chrome 浏览器修复了 9 个漏洞,在其中有 7 个漏洞是由外界安全性研究工作人员所看到的。该升级适用 Windows、Mac 和 Linux。
Google 将漏洞分为了四个级别,本次修补的漏洞不包含四个级别中最多的「比较严重」漏洞,全部七个都被评选为第二级的「高危」漏洞。这 7 个漏洞的 CVE ID 分别是:
CVE-2021-30598
2022年04月03日
Chrome 安全团队发表,谷歌正在探索使用内存安全语言 Rust 重写或开发 Chrome 部分模块。谷歌去年指出,Chrome 70% 的安全漏洞是内存安全安全问题C/C 中致指针错误。谷歌表示,要解决这个问题 Chrome 通过以下三个方向探索: 检查编译指针是否正确,使 C 更安全 &n
2022年04月03日
微软和Google都发布了新的稳定通道版本,修复了一个基于Chromium的Use-After-Free(UAF)成功使用后,攻击者可能会执行任何代码。Edge的版本是94.0.992.31,而Google浏览器的版本是94.0.4606.61。基于新的构建版本Chromium版本94.0.4606.54。该漏洞的ID为"CVE-2021-37973",该漏洞是由Google安全工程师Clément Lecigne在Sergei Glazunov和Mark B
2022年04月03日
据security affairs消息,Imperva安全研究人员发现Chrome攻击者滥用浏览器上的广告屏蔽插件,并在谷歌搜索页面上注入恶意/虚假广告。这是一种借助广告注入的欺诈性攻击,专门针对一些大型网站。该攻击使用一个名称AllBlock实现广告屏蔽插件,插件广泛应用Chrome和Opera这意味着攻击者可以在浏览器上Chrome和Opera在浏览器上注入恶意广告。广告注入是将未经授权/不安全的广告插入网页,诱使用户点击。目前,这种恶意广告注入可以通过使用恶意浏览器扩展、恶意软件和跨站脚
2022年04月03日
文件传输协议存在了半个世纪(FTP),谷歌终于走到了尽头。Chrome 95将FTP代码从代码库中完全删除。布局多年Chrome终于完成了对FTP协议的自我终结,而Mozilla和Firefox有望跟随谷歌的脚步删除FTP代码可能只是时间问题。这意味着,FTP代码真的需要在历史的长河中消散。事实上,从Chrome 59开始,谷歌开始全面削弱对策FTP支持页面。Chrome 72 取消对通过FTP获得文档资源的支持,Chrome 76 中删除了对FTP的代理支持,Chrome 86 几乎完全
2022年04月02日
Google 刚刚向 Windows、Mac 和 Linux 平台推送了 Chrome 浏览器的一个计划外更新,以修复正在被广泛利用的高危零日漏洞。Google 在周一的安全公告中指出,其已收到有关 CVE-2021-4102 漏洞的野外利用报告,可知问题源于 Chrome V8 JavaScript 引擎中的一个在“Use-After-Free”漏洞。
(来自:Google Blog)
Bleeping Computer 指出,UAF 是一个与程序运行过程中&l
2022年04月02日
近日复旦大学计算机学院的杨珉表明,她们精英团队上年9月向谷歌提交的 400 好几个漏洞,一直拖到今年底才修补完。并且还没有一般的小漏洞,是让“市面上全部生活的安卓设备变砖块”的高风险漏洞。
依据杨珉专家教授自身的详细介绍,这 400 好几个漏洞全是按照她们根据 Android 系统软件资源优化配置体制的系统化科学研究而看到的。全部应用Android编码的厂家都将遭受这一漏洞的危害。有关的科研成果已梳理成毕业论文《Exploit the Last Straw T