Chrome

近期谷歌威胁分析团队(Google's Threat Analysis Group)发现了一例野外攻击中的Chrome远程代码执行漏洞:CVE-2019-5786。攻击者利用该漏洞配合一个win32k.sys的内核提权(CVE-2019-0808 )可以在win7上穿越Chrome沙箱。
在 Windows 10 Insider Preview Build 18358 的发布公告,微软表明其已经开发并开始测试了一种针对 Chrome 和 Firefox 的 Windows Defender Application Guard 扩展。
北京时间3月6日,360CERT监控到chrome浏览器发布版本更新(72.0.3626.119->72.0.3626.121),修复了在野利用的CVE-2019-5786。该漏洞危害较为严重,影响较大。
北京时间2月28日,360CERT监控到edgepot.io发布的一篇博客公开披露了Chrome中通过打开pdf文件泄露信息的0day漏洞,漏洞成功利用可导致目标用户IP地址等信息被泄漏,已经出现多个利用该漏洞的野外样本。该漏洞危害较为严重,影响较大。
我发现Video Downloader for Chrome version 5.0.0.12(820万用户)以及Video Downloader Plus(730万用户)这两款流行的Chrome插件在browser action页面中存在跨站脚本(XSS)漏洞,受害者只需要浏览攻击者控制的某个页面就可以触发漏洞。
本文介绍了macOS上利用Chrome扩展实现的一种载荷投递机制,介绍了自动更新功能在攻击过程中的应用,也介绍了使用Apfell的一个实际攻击样例,最后提出了一些基本但实际可操作的检测指南。
本文使用的是node环境,但其中许多内容适用于各种语言,以便让大家能够轻松使用devtools。
Sourcetree 远程命令执行;Davolink DVW 3200 路由器密码泄漏;CSE恶意软件ZLab - APT-C-27在叙利亚的长期间谍活动仍在进行中;Google Chrome68明确定义HTTP网站的不安全性。
由于在从常规网页传递的消息中缺乏适当的origin检查,网页能够通过Read&Write Chrome扩展(易受攻击的版本1.8.0.139)调用敏感的后台API。这些API中的很多都允许危险的操作,这些操作并不意味着可以通过互联网上的任意网页进行调用。
浏览器插件让我们的生活变得更加轻松:它们为我们隐藏碍眼的广告,替我们翻译文本等,这当然包括了从Chrome网上应用店下载并分析那些看起来可疑的插件。