-20% z kodem swieta-2021 -> Książka sekuraka o bezpieczeństwie aplikacji webowych (idealna również dla początkujących).

Tag: chrome

Zaserwowali w krótkim czasie przeszło miliard „lewych”/złośliwych reklam – użyli 0-day w Chrome

10 października 2019, 17:34 | W biegu | 0 komentarzy
Zaserwowali w krótkim czasie przeszło miliard „lewych”/złośliwych reklam – użyli 0-day w Chrome

Wygrałeś iPhone, tysiąc złotych, czy inne złote garnki. Z daleka wygląda podejrzanie – i takie jest, często ofiara kończy infekcją swojego komputera, co jest dalej monetyzowane na różne sposoby. Jest w tym (nielegalny) biznes, są też zatem środki na poszukiwanie specyficznych błędów klasy 0-day w przeglądarkach. Kampania eGobbler użyła aż…

Czytaj dalej »

Omijanie jednej z najlepszych bibliotek chroniących przed XSS i ciekawe zachowanie najnowszego Chrome

23 września 2019, 14:15 | W biegu | 1 komentarz

Właśnie opublikowaliśmy obejście ochrony przed XSS dostarczanej przez DOMPurify (podatność właśnie została załatana). Całość to kolejna publikacja na naszym anglojęzycznym research blogu – poprzednie unikalne wpisy dotyczyły paru bugów w Chrome dotyczących elementu <portal>, oraz tematyki SSTI (Server-Side Template Injection) w systemie szablonów Pebble. Kolejne publikacje niebawem, śledźcie bezpośrednio research.securitum.com i/lub konto…

Czytaj dalej »

Google „w ramach eksperymentu” przerzuci część użytkowników Chrome na DNS-over-HTTPS

12 września 2019, 17:52 | W biegu | komentarze 4

HTTPS to obecnie standard, ale do korzystania ze stron webowych przytłaczająca większość użytkowników używa nieszyfrowanego protokołu DNS (pakiety DNS mogą być przechwycone i zmodyfikowane bez większego problemu jeśli np. łączymy się do niezaufanej sieci WiFI). Jak naprawić ten ostatni krok do bezpiecznego łączenia się ze stronami WWW? Jednym z pomysłów…

Czytaj dalej »

Koniec znanych nam adblockerów w Chromie? A nie, będą dostępne tylko w Chrome enterprise

30 maja 2019, 13:16 | W biegu | komentarzy 20

Kolejna faza batalii Google ze społecznością tworzącą rozszerzenia. Tym razem gigant ogłosił, że w nowej wersji API dostępnej dla rozszerzeń nie będzie w ogóle możliwości blokowania wysyłania żądań HTTP z przeglądarki, chyba że dla wersji enterprise Chrome: Chrome is deprecating the blocking capabilities of the webRequest API in Manifest V3,…

Czytaj dalej »

Łatajcie szybko Chroma. Jest 1-day, który jest aktywnie wykorzystywany!

06 marca 2019, 23:37 | W biegu | komentarzy 5

Szczegóły tutaj: Google is aware of reports that an exploit for CVE-2019-5786 exists in the wild. Można przejąć konto użytkownika, który korzysta z niezaktualizowanej przeglądarki (prawdopodobnie wystarczy wejść na spreparowaną stronę – w systemie operacyjnym wykona się kod z naszymi uprawnieniami). Podatne są wersje Chrome na Windows, Linux, OS X…

Czytaj dalej »

Krytyczna podatność w SQLite – można przejąć Chrome, urządzenia IoT, masę innych aplikacji

15 grudnia 2018, 11:48 | W biegu | 0 komentarzy

Zanim zaczniecie czytać – zaktualizujcie Chrome do wersji 71. A teraz konkrety. Opis problemu jest tutaj. Na początek ekipa przygotowała exploita umożliwiającego wykonanie dowolnego kodu w Chrome poprzez Web SQL API. Czyli w skrócie – odpowiednio przygotowana strona może zapisać swoje dane w lokalnej bazie SQL (w Chrome). Ta baza…

Czytaj dalej »

Microsoft Bing polecał na #1 zainfekowaną przeglądarkę Chrome!

26 października 2018, 10:36 | W biegu | komentarzy 16

Ciekawe znalezisko: nowy laptop z Windows 10. Co robimy jako pierwsze? Ściągamy Chrome (lub Firefoksa). Jaką mamy dostępną przeglądarkę? Edge. Jaka jest domyślnie skonfigurowana wyszukiwarka w Edge? Bing. Wpisujemy zatem: download chrome, wchodzimy na pierwszą pozycję (dla pewności widzimy że jest w domenie google.com). Instalujemy i cieszymy się normalnym przeglądaniem sieci….

Czytaj dalej »

Nowa „bomba pobraniowa” w Chrome i Firefoksie

03 lipca 2018, 21:27 | W biegu | komentarze 4

Bleepingcomputer donosi o kolejnej edycji tzw. „bomby pobraniowej”, która efektywnie zawiesza przeglądarkę / komputer. Wystarczy w odpowiedni sposób zmusić przeglądarkę do zainicjowania wiele setek czy tysięcy pobrań zewnętrznych zasobów. W jakim celu to zrobić? Żeby w sposób przekonywujący doprowadzić do infekcji komputera. Wszedłeś na stronę, przeglądarka / komputer się zawiesza…

Czytaj dalej »

Dodawanie dowolnych nagłówków zapytania w Chrome – opis podatności CVE-2018-6148

27 czerwca 2018, 19:03 | Teksty | 1 komentarz
Dodawanie dowolnych nagłówków zapytania w Chrome – opis podatności CVE-2018-6148

W artykule opisany jest błąd CVE-2018-6148, naprawiony w Chrome 67 w wersji z dnia 6 czerwca 2018. Błąd ten pozwalał na dodawanie dowolnych nagłówków zapytania HTTP w zapytaniach cross-domenowych. Oznaczało to, że dowolna strona webowa mogła ustawić treść takich nagłówków jak np. X-CSRF-Token, Referer, User-Agent, Host czy Cookie. Inne strony webowe, z kolei, przyjmują za pewnik, że nikt nie może w przeglądarce sobie sam tych nagłówków ustawiać – co może prowadzić do problemów bezpieczeństwa.

Czytaj dalej »

Zainfekowane rozszerzenia do Chrome – przeszło 500 000 instalacji

18 stycznia 2018, 11:07 | W biegu | komentarze 4

Technicznie rzecz ujmując, wspomniane w tytule rozszerzenia były „czyste”. Ale dociągały w odpowiednim momencie JavaScript z zewnętrznych serwerów, po czym go wykonywały. Finalnie rozszerzenia czyniły z ofiary proxy – czyli np. przeglądarki ofiar nieświadomie klikały reklamy wskazane przez twórców procederu. Wspomniane rozszerzenia to: Change HTTP Request Header, Nyoogle – Custom Logo for…

Czytaj dalej »

Świetne opinie, ponad 100 000 użytkowników i ukryta koparka kryptowaluty. Oto jedno z rozszerzeń do Chrome

29 grudnia 2017, 15:25 | W biegu | komentarze 2

Tym razem chodzi o rozszerzenie „Archive Poster” z całkiem bogatą bazą użytkowników i – jak donosi Bleepingcomputer – ukrytą w wersjach 4.4.3.994 – 4.4.3.998 koparką Monero. To już kolejny przykład  próby monetyzacji rozszerzenia do Chrome, a podobne historie będą zapewne coraz bardziej częste i coraz trudniejsze do wykrycia. –ms

Czytaj dalej »

Microsoft zgłasza zdalne wykonanie kodu w Chrome i krytykuje Google

23 października 2017, 12:46 | W biegu | komentarzy 6

Ostatnio załoga ofensywna Microsoftu się rozkręca, ponownie zgłosili do Google zdalne wykonanie kodu w przeglądarce Chrome, otrzymując skromne bounty – $15,837 (które zaokrąglone przez Google do $30 000, zostało przekazane na cele charytatywne). Microsoft przy okazji wytknął Google-owi luźne podejście do publikacji łat krytycznych błędów (konkretniej – upublicznienie łaty, co dawało…

Czytaj dalej »

Malware w oficjalnych aktualizacjach – nowy trend?

17 sierpnia 2017, 16:36 | W biegu | komentarzy 8

Firma Proofpoint donosi o kolejnych rozszerzeniach do Chrome, które zostały przejęte. A bardziej precyzyjnie – przejęte zostały konta osób tworzących rozszerzenia, po czym do oficjalnego sklepu Google z rozszerzeniami została wgrana zainfekowana wersja. Pisaliśmy niedawno o historii z The Web Developer (ponad 1 000 000 instalacji), a Proofpoint wskazuje na kolejne zainfekowane rozszerzenia:…

Czytaj dalej »