RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

Tag: chrome

Nowa wersja Chrome łata krytyczną podatność oraz 8 innych poważnych luk. Łatajcie się.

30 sierpnia 2022, 23:11 | W biegu | 0 komentarzy
Nowa wersja Chrome łata krytyczną podatność oraz 8 innych poważnych luk. Łatajcie się.

Ostatnio aktualizacje najpopularniejszej przeglądarki obfitują w łatki poważnych podatności. Nie inaczej jest tym razem, gdzie mamy krytyczną lukę (Google dość rzadko używa aż tak wysokiego oznaczenia): Critical CVE-2022-3038: Use after free in Network Service. Poza tym mamy też fixy na 8 błędów klasy High, w sumie załatano aż 24 podatności. Łatajcie…

Czytaj dalej »

Kilka 0-dayów wpuszczonych do akcji przez konkurenta Pegasusa. Zaczęło się od infekcji serwisu informacyjnego…

22 lipca 2022, 10:33 | Aktualności | komentarzy 5
Kilka 0-dayów wpuszczonych do akcji przez konkurenta Pegasusa. Zaczęło się od infekcji serwisu informacyjnego…

Chodzi o mało znaną ekipę o kryptonimie Candiru. Swoja drogą oczywiście dla samych atakujących wygodniej jest pozostawać w cieniu, niż być na świeczniku jak choćby NSO – producent Pegasusa. Ale przechodząc do konkretów – Avast donosi o wykrytej przez siebie celowanej kampanii hackerskiej wykorzystującej kilka naprawdę ciekawych technik. Technika pierwsza…

Czytaj dalej »

Łatajcie Chrome! Google przygotował właśnie łatkę na 7 podatności (z czego co najmniej 4 to „grubasy”)

10 czerwca 2022, 13:49 | W biegu | 1 komentarz
Łatajcie Chrome! Google przygotował właśnie łatkę na 7 podatności (z czego co najmniej 4 to „grubasy”)

Więcej szczegółów można poczytać tutaj. Wersja Chrome 102.0.5005.115 przynosi łatki na 4 podatności kategorii High, np.: [$TBD][1330379] High CVE-2022-2011: Use after free in ANGLE. Reported by SeongHwan Park (SeHwa) on 2022-05-31 Patrząc np. na czasy zgłoszenia / szybkość reakcji, można się spodziewać że luki umożliwiają atakującym wejście na system operacyjny,…

Czytaj dalej »

CVE-2022-0337 – podatność w Chrome warta ~45000zł, namierzona przez Maćka Pulikowskiego

02 czerwca 2022, 11:12 | W biegu | komentarze 2
CVE-2022-0337 – podatność w Chrome warta ~45000zł, namierzona przez Maćka Pulikowskiego

Istotną podatność w przeglądarkach internetowych Google Chrome, Microsoft Edge i Opera wykrył niedawno Maciej Pulikowski. Raport na ten temat został zaakceptowany, a za zgłoszenie przekazano nagrodę w wysokości 10 000 USD, w ramach programu Google Bug Bounty. Jest to już 7 podatność w Chromium zgłoszona przez tego autora. Błąd bezpieczeństwa…

Czytaj dalej »

Już wkrótce Chrome uniemożliwi ustawianie document.domain

06 maja 2022, 02:21 | W biegu | komentarze 3
Już wkrótce Chrome uniemożliwi ustawianie document.domain

Już całkiem niedługo, bo w wersji Chrome 106 (okolice lipca 2022) Chrome uniemożliwi ustawienie własnej wartości document.domain w celu osłabienia Same Origin Policy, co może w efekcie pozwolić na dodatkowe uszczelnienie modelu bezpieczeństwa w tej przeglądarce. Zacznijmy może od wyjaśnienia czym w ogóle jest document.domain w przeglądarkach i dlaczego jego…

Czytaj dalej »

Łatajcie Chrome, kolejny exploit 0day panoszy się po Internecie…

15 kwietnia 2022, 09:50 | W biegu | komentarze 4
Łatajcie Chrome, kolejny exploit 0day panoszy się po Internecie…

Tutaj garść informacji od Google: High CVE-2022-1364: Type Confusion in V8. Reported by Clément Lecigne of Google’s Threat Analysis Group on 2022-04-13 Pewnie niebawem dowiemy się więcej odnośnie samych ataków oraz możliwości wiążących się z wykorzystaniem podatności, na razie jest jedynie adnotacja: Google is aware that an exploit for CVE-2022-1364…

Czytaj dalej »

Kampania przejmowania telefonów kierowana na użytkowników Samsunga/Xiaomi. Wykorzystywali błędy n-day we wbudowanych przeglądarkach

08 marca 2022, 13:10 | W biegu | komentarzy 13
Kampania przejmowania telefonów kierowana na użytkowników Samsunga/Xiaomi. Wykorzystywali błędy n-day we wbudowanych przeglądarkach

Z dziwnego powodu chyba mało mediów przyjrzało się bliżej temu problemowi. W styczniu tego roku Google upublicznił dość enigmatyczny błąd. Tłumaczenie od sekurak: Mamy powody, by sądzić, że komercyjny dostawca systemów inwigilujących atakuje użytkowników Samsunga i Xiaomi, przekierowując ruch z Chrome do preinstalowanych przeglądarek, a następnie wykorzystuje exploity n-day w…

Czytaj dalej »

Jak zostać milionerem? Wystarczy znaleźć exploit 0-day w przeglądarce Google Chrome

21 września 2021, 09:35 | W biegu | 1 komentarz
Jak zostać milionerem? Wystarczy znaleźć exploit 0-day w przeglądarce Google Chrome

Jeśli regularnie korzystacie z Internetu, to z pewnością natknęliście się na reklamy kursów „od zera do milionera”. Tymczasem wizja szybkiego wzbogacenia się jest o wiele bardziej „realna”, niż się niektórym wydaje – wystarczy „jedynie” znaleźć krytyczną podatność w przeglądarce Google Chrome i przekazać ją brokerowi exploitów Zerodium: Na śmiałków żądnych…

Czytaj dalej »

Grupa PuzzleMaker atakuje firmy za pośrednictwem 0-day’a w przeglądarce Google Chrome

10 czerwca 2021, 18:31 | W biegu | 1 komentarz
Grupa PuzzleMaker atakuje firmy za pośrednictwem 0-day’a w przeglądarce Google Chrome

W dniach 14–15 kwietnia 2021 r. badacze z firmy Kaspersky wykryli falę wysoce ukierunkowanych ataków na przedsiębiorstwa. Bliższa analiza wykazała, że w kampanii zastosowano łańcuch exploitów 0-day w Google Chrome i Microsoft Windows. Według badaczy w atakach prawdopodobnie została wykorzystana luka CVE-2021-21224, pozwalająca na zdalne wykonanie kodu w Google Chrome….

Czytaj dalej »

Chrome łata 47 błędów bezpieczeństwa. Przynajmniej jedna podatność jest aktywnie exploitowana. Łatajcie się

03 marca 2021, 12:00 | W biegu | komentarze 2
Chrome łata 47 błędów bezpieczeństwa. Przynajmniej jedna podatność jest aktywnie exploitowana. Łatajcie się

Niemal wszystko mamy powiedziane w tytule :-) Szczegóły macie dostępne w tym miejscu: This update (chrome 89 – przyp. sekurak) includes 47 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information. Google dodaje jeszcze nieco lakonicznie: Google is…

Czytaj dalej »

Rozszerzenie do Chrome, mające > 2 000 000 użytkowników (the great suspender) sprzedane do innej firmy. Inna firma wrzuciła w aktualizacji malware.

05 lutego 2021, 20:44 | W biegu | komentarze 2
Rozszerzenie do Chrome, mające > 2 000 000 użytkowników (the great suspender) sprzedane do innej firmy. Inna firma wrzuciła w aktualizacji malware.

Google właśnie wyrzucił wspomniane w tytule rozszerzenie z webstore-u. Powód? Malware. Więcej szczegółów opisanych mamy tutaj. Developer the great suspendera odszedł jakiś czas temu, ale przekazał (tj. najprawdopodobniej sprzedał) projekt „nieznanej firmie”. Samo rozszerzenie realizowało dość przydatną rzecz – tj. zamrażało dłużej nieużywane taby w Chrome. Popularność? Ponad 2 miliony…

Czytaj dalej »