2022年04月03日
谷歌本周推出了 Chrome 浏览器的紧急安全更新可以解决四个安全漏洞,包括两个新的零日漏洞。谷歌本月解决了5个零日漏洞,自年初以来修复的零日漏洞总数为 14 。上一轮修复的两个零日漏洞被跟踪为 CVE-2021-37975 和 CVE-2021-37976。匿名研究人员报告说,CVE-2021-37975 缺陷存在于 中V8 JavaScript 免费使用发动机后的漏洞。CVE-2021-37976 是存在于核心的信息泄漏,由 Google TAG 的 Clément Leci
2022年04月03日
谷歌宣布成为一个新的谷歌网络安全行动小组,并表示该小组将“肩负着协助政府、关键基础设施、企业和小企业安全和数字化转型的独特使命”。“客户需要一致的方法来准备和防止网络安全威胁,”谷歌云副总裁兼首席信息安全官兼谷歌网络安全行动团队创始人菲尔维纳布尔斯(Phil Venables)说。“谷歌网络安全行动小组通过我们的平台提供和放大的综合安全解决方案,将有助于保护组织免受不利网络事件,有能力解决行业框架和标准,”他继续说道。新团
2022年04月03日
谷歌报道称,自2021年1月以来,谷歌已经向客户发出了大约5万条警告,其背后是国家支持的黑客攻击或在线钓鱼。所有这些数据都是谷歌威胁分析部门(TGA)提供,部门一直在跟踪“国家背景”网络攻击活动。谷歌TGA专家Ajax Bash表示,“到目前为止,我们已经发出了5万条警告,比2020年增加了33%。在如此快速增长的背后,很大程度上是由于俄罗斯最近通过黑客攻击干扰了其他国家的竞选,其中著名的 APT 28组织。”事实上,谷歌TAG总是分批,向可能
2022年04月03日
根据谷歌最近发布的勒索软件分析报告,以色列自2020年初以来提交了最多的勒索软件样本。谷歌委托网络安全机构VirusTotal该报告分析了来自140个国家的8000万个勒索软件样本。以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国是受勒索软件影响最严重的10个国家和地区。以色列提交的样本数量最多,比基准提交的样本数量增加了近600%。但该报告并没有说明以色列在此期间提交的样本的基准数量。2020年以来,勒索软件活动在2020年前两季度达到顶峰,VirusTotal公司将其归
2022年04月03日
文件传输协议存在了半个世纪(FTP),谷歌终于走到了尽头。Chrome 95将FTP代码从代码库中完全删除。布局多年Chrome终于完成了对FTP协议的自我终结,而Mozilla和Firefox有望跟随谷歌的脚步删除FTP代码可能只是时间问题。这意味着,FTP代码真的需要在历史的长河中消散。事实上,从Chrome 59开始,谷歌开始全面削弱对策FTP支持页面。Chrome 72 取消对通过FTP获得文档资源的支持,Chrome 76 中删除了对FTP的代理支持,Chrome 86 几乎完全
2022年04月02日
谷歌安全研究人员发现微软Surface Pro 3 TPM绕过安全漏洞。10月18日,微软发布了关于微软的信息CVE-2021-42299漏洞安全公告,漏洞是TPM(Trusted Platform Module,可信平台模块)绕过漏洞,影响Surface Pro 3笔记本。谷歌安全研究人员发现了这个漏洞,攻击者可以利用这个漏洞发起复杂性TPM Carte Blanche攻击。漏洞概述——绕过安全完整性检查Surface Pro 3设备使用平台配置寄存器(Platfo
2022年04月02日
DevOps平台GitLab宣布已将关键漏洞赏金上调75%,承诺为关键问题支付2万到3.5万美元,并调高其他严重漏洞的奖金支付上限(调高50%)。
GitLab与其他多家公司一道,纷纷增加对研究人员发现并报告软件漏洞的奖金。两年来,微软、谷歌和Atlassian全都调高了漏洞报告奖励。GitLab安全副总裁Johnathan Hunt称,随着企业逐渐认识到漏洞奖励可以补充自身内部安全计划、削减风险,并最终降低发现漏洞的成本,漏洞赏金市场日渐火热。
Hunt表示:“这事儿是把双
2022年04月02日
据Securityaffairs 消息,12月7日,谷歌宣布破坏了Glupteba僵尸网络。同时,谷歌还起诉了两位俄罗斯人Dmitry Starovikov和Alexander Filippov,这两位被认为是该僵尸网络的创建和运营者,并同步经营着为Glupteba做广告的在线网站。例如,dont.farm就被用来出售被感染的谷歌和Facebook广告账户访问权。
Glupteba开始活跃于2011年,截至目前,该僵尸网络已经发展成由全球超100万台Windows PC设备组成的庞大网络
2022年04月02日
微软、谷歌OAuth漏洞被用于钓鱼攻击。
Proofpoint研究人员发现一系列针对弱OAuth 2.0实现的URL重定向攻击。攻击可以让钓鱼检测和邮件安全解决方案,并使受害者感觉钓鱼URL看起来是合法的。相关的攻击活动目标包括Outlook Web Access、PayPal、Microsoft 365和Google Workspace。
攻击流程
OAuth 2.0 被广泛应用于授权协议中,认证协议允许web或桌面客户端对终端用户控制的资源进行访问,包括邮件、联系人、个人简介、社交媒
2022年04月02日
据Securityaffairs网址信息,Google开源系统精英团队扫描仪了Maven Central Java软件包库,发觉35863个软件包应用的Apache Log4j库版本号易受Log4Shell漏洞和CVE-2021-45046 RCE进攻。
据统计,受影响的Java包总数占Maven中间储存库(最重要的Java包存储库)的8%.。Google公布汇报表明,处于log4j漏洞近期对互联网行业造成了普遍危害,8%的比率对所有领域绿色生态的危害仍然极大。
Google权威专家应用了O