Z dziwnego powodu chyba mało mediów przyjrzało się bliżej temu problemowi. W styczniu tego roku Google upublicznił dość enigmatyczny błąd. Tłumaczenie od sekurak: Mamy powody, by sądzić, że komercyjny dostawca systemów inwigilujących atakuje użytkowników Samsunga i Xiaomi, przekierowując ruch z Chrome do preinstalowanych przeglądarek, a następnie wykorzystuje exploity n-day w…
Czytaj dalej »
Chrome 97.0.4692.71 łata m.in. podatność CVE-2022-0096: Use after free in Storage oznaczoną jako krytyczną, oraz cała masę luk oflagowany „zaledwie” z ryzykiem High. Aktualizacja powinna zainstalować się w najbliższych dniach automatycznie, chociaż nie szkodzi ręcznie ją przyspieszyć… ~Michał Sajdak
Czytaj dalej »
Tym razem Chrome załatał 5 istotnych podatności (jedną krytyczną). Z wiadomych przyczyn nie ma na razie zbyt wielu szczegółów, poza: Google is aware of reports that an exploit for CVE-2021-4102 exists in the wild. Najbardziej chyba powinna martwić jednak ta luka: Critical CVE-2021-4098. Insufficient data validation in Mojo. O ile…
Czytaj dalej »
Jeśli regularnie korzystacie z Internetu, to z pewnością natknęliście się na reklamy kursów „od zera do milionera”. Tymczasem wizja szybkiego wzbogacenia się jest o wiele bardziej „realna”, niż się niektórym wydaje – wystarczy „jedynie” znaleźć krytyczną podatność w przeglądarce Google Chrome i przekazać ją brokerowi exploitów Zerodium: Na śmiałków żądnych…
Czytaj dalej »
W dniach 14–15 kwietnia 2021 r. badacze z firmy Kaspersky wykryli falę wysoce ukierunkowanych ataków na przedsiębiorstwa. Bliższa analiza wykazała, że w kampanii zastosowano łańcuch exploitów 0-day w Google Chrome i Microsoft Windows. Według badaczy w atakach prawdopodobnie została wykorzystana luka CVE-2021-21224, pozwalająca na zdalne wykonanie kodu w Google Chrome….
Czytaj dalej »
Niemal wszystko mamy powiedziane w tytule :-) Szczegóły macie dostępne w tym miejscu: This update (chrome 89 – przyp. sekurak) includes 47 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information. Google dodaje jeszcze nieco lakonicznie: Google is…
Czytaj dalej »
Google właśnie wyrzucił wspomniane w tytule rozszerzenie z webstore-u. Powód? Malware. Więcej szczegółów opisanych mamy tutaj. Developer the great suspendera odszedł jakiś czas temu, ale przekazał (tj. najprawdopodobniej sprzedał) projekt „nieznanej firmie”. Samo rozszerzenie realizowało dość przydatną rzecz – tj. zamrażało dłużej nieużywane taby w Chrome. Popularność? Ponad 2 miliony…
Czytaj dalej »
Niedawno SonicWall, teraz Chrome. Udostępniona została właśnie nowa wersja tej przeglądarki (88.0.4324.150, z adnotacją o załataniu istotnej podatności: High CVE-2021-21148: Heap buffer overflow in V8. Reported by Mattias Buelens on 2021-01-24. Google is aware of reports that an exploit for CVE-2021-21148 exists in the wild. Nie czekajcie więc, tylko łatajcie….
Czytaj dalej »
![Google zablokował w Chrome ściąganie nmapa [na 24h]](https://sekurak.pl/wp-content/uploads/2021/01/nmap-d-150x150.png "Google zablokował w Chrome ściąganie nmapa [na 24h]")
O sprawie napisał sam projekt nmap, wskazując jako winowajcę mechanizm Safe Browsing, który wykrył 10-letnią wersję narzędzia ncat, jako potencjalne zagrożenie: Z kolei tydzień wcześniej, podobna blokada została nałożona na 24-letnie archiwum z kodem źródłowym narzędzia: L0phtcrack (hostowanym przez projekt nmapa). Tutaj ekipa od tego ostatniego napisała tak: Last week…
Czytaj dalej »
Co tu dużo pisać… możecie poczekać na automatyczną aktualizację, ew. wymusić ja wcześniej ręcznie (polecam). Google doniósł właśnie o załataniu dwóch poważnych luk (zwróćcie uwagę na ekspresowy czas od momentu zgłoszenia, do wydania łaty): High CVE-2020-16013: Inappropriate implementation in V8. Reported by Anonymous on 2020-11-09 High CVE-2020-16017: Use after free…
Czytaj dalej »
Czytając niedawno specyfikację HTML, natrafiłem na ciekawe działanie atrybutu marginwidth/marginheight. Przyjrzałem mu się dokładniej i – ku mojemu zdumieniu – odkryłem, że nadaje się jako mechanizm do komunikacji pomiędzy różnymi ramkami w przeglądarkach!
Czytaj dalej »
Autor reklamuje dodatek jak przydatne narzędzie dla red teamów (ofensywnych ekip, które w legalny sposób atakują organizacje na ich prośby). Po instalacji dodatku u ofiary, jej Chrome działa jako pełnoprawne proxy: A (cursed) Chrome-extension implant that turns victim Chrome browsers into fully-functional HTTP proxies. By using the proxies this tool…
Czytaj dalej »
Post na blogu Google jest dość zwięzły. W nowej wersji przeglądarki mamy załatane 3 podatności o ryzyku High. W tym High CVE-2020-6418: Type confusion in V8. Reported by Clement Lecigne of Google’s Threat Analysis Group on 2020-02-18 Google is aware of reports that an exploit for CVE-2020-6418 exists in the wild….
Czytaj dalej »
Od teraz, w wielu przypadkach mamy o jedno klikanie mniej. Ilu z nas widziało komunikat jak poniżej? Na pewno wielu: Od najnowszego Firefoksa (72) komunikaty te nie będą się wyświetlać, choć jeśli jest ktoś uparty może kliknąć w widoczną poniżej ikonkę dymku i dopiero wtedy zaakceptować powiadomienia: Podobny sposób działania…
Czytaj dalej »
Ekipa Blace Tencent pochwaliła się, że posiada działającego exploita na Chrome. Problem leży dokładniej w bazie SQLite, który może objawiać się takimi efektami: Remote code execution, leaking program memory or causing program crashes. Aby wykorzystać podatność wymagane jest wykonywanie dowolnych zapytań do bazy SQLite („normalnie” czy za pomocą SQL injection)….
Czytaj dalej »
