Browsing posts in: Проблемы

В Chrome 87 будет упрощена смена уязвимых паролей

Менеджер паролей в Google Chrome уже включает функцию «Проверить пароли», которая позволяет проверить пароли на утечки данных и другие проблемы с безопасностью

В Chrome 87 будет упрощена смена уязвимых паролей

Утечки учетных данных являются распространенным явлением в Интернете.

Функцию «Проверить пароли», которая анализирует ваши пароли и находит слабые, повторяющиеся или похищенные пароли уже доступна в браузере Google Chrome.

В Chrome 87 данные возможности будут расширены. Google уже интегрировал опции для проверки паролей на сложность в сборке Chrome Canary. Теперь компания Google работает над стандартным способом по замене уязвимых паролей.

Для данного функционала используется стандартная схема под названием Well Known Change Password. В соответствии с ней большинство веб-сайтов настраивают редиректы на страницу смены пароля по адресу ../well-known/change-password, например:

Теперь, если Google обнаружит, что ваш пароль был взломан, то достаточно просто нажать на соответствующую кнопку, чтобы перейти на страницу обновления пароля. Вам больше не нужно будет выполнять лишние действия.

Если сайт не поддерживает данную схему, то вы будете перенаправлены на домашнюю страницу ресурса.

Новая функция уже доступна в виде эксперимента для Chrome Canary 87. Чтобы ее включить, выполните следующие шаги:

  • Убедитесь, что Chrome Canary обновлен до последней версии.
  • Введите в адресную строку chrome://flags/#well-known-change-password и нажмите Enter, чтобы перейти к необходимому флагу на странице настроек.
  • Установите для флага Support for .well-known/change-password статус Enabled.
  • Перезапустите Chrome.

Support for .well-known/change-password

Данная функция доступна в Safari и в ближайшее время появится во всех браузерах на Chromium.

https://www.comss.ru/page.php?id=7925


Эксперимент: сколько памяти реально «жрут» разные браузеры

Поставили точку в этом вопросе, а заодно развенчали миф о гигантских аппетитах Chrome.

Эксперимент: сколько памяти реально «жрут» разные браузеры

Если у вас не самый мощный компьютер со скромным объемом оперативной памяти, даже банальный браузер может вызвать заметные подвисания. Каждая открытая вкладка «отъедает» кусок оперативки, и, когда свободной памяти остается совсем мало, компьютер, говоря простым языком, начинает «тормозить».

Есть мнение, некоторые браузеры потребляют очень много ОЗУ, а другие в этом плане более экономичны. Мы решили проверить это опытным путем: сравнили самые популярные интернет-обозреватели и делимся с вами результатами.

Методика тестирования

В список тестируемых программ попали: Google Chrome, Yandex Browser, Microsoft Edge, Opera GX и Firefox. В каждом браузере мы открыли 5 одинаковых вкладок:  главные страницы VK, Instagram, Youtube, Twitch и «Авито». Какие либо плагины и расширения дополнительно не устанавливались. В качестве операционной системы была выбрана Windows 10 с последними обновлениями.

В простое ОС вместе с самым базовым набором программ (Afterburner для мониторинга, Joxi для создания скриншотов и GeForce Experience в качестве драйвера для видеокарты) потребляла около 3,2 Гбайт оперативной памяти. Всего в компьютере было установлено 32 Гбайт ОЗУ.

Google Chrome

Начнем с утилиты, которая долгое время удерживала пальму первенства среди самых прожорливых программ. Судя по всему, мемы про ненасытное детище Google окончательно остались в прошлом, потому что программа съела чуть больше гигабайта. Датчики плясали вокруг отметки в 4,3 Гбайт.

Функция предзагрузки страниц сейчас используется по умолчанию практически в любом браузере (то есть страница загружается сразу, как вы ее открыли, а не когда вы на нее перешли), поэтому Chrome на фоне остальных не выделяется. И хоть эта технология требует больше оперативной памяти, она делает пользование браузером намного комфортнее.

Читать далее


Google, что с тобой не так? Баг в Android позволял воровать переписку, данные карт и пароли

Пользоваться Android – как ходить по минному полю. Никогда не знаешь, где может рвануть. Ведь на первый взгляд операционка кажется вполне дружелюбной и функциональной, но, если начать разбираться, можно найти столько багов и уязвимостей, что захочется спрятать смартфон в ящик и больше никогда им не пользоваться. Большинство, конечно, даже не подозревает о том, что с их аппаратами что-то не так, живя по принципу «не знаю – значит, нет». Но от этого опасность всех недоработок Android никуда не девается. За примерами далеко холить не надо.

Утечка данных

Баг Android позволял воровать данные приложений

Наверное, вы заметили, что многие приложения для Android могут обновляться в обход Google Play. Google специально добавила такую возможность для разработчиков, чтобы пользователи, у которых отключено автообновление, могли получать актуальные сборки при входе в приложение. К сожалению, в этом механизме была обнаружена ошибка, которая позволяла вместе с обновлениями загружать на устройства пользователей вредоносные модули, способные воровать конфиденциальные данные из других приложений, к которым их создатели не имеют никакого отношения.

Читать далее


Google добавила в Chrome защиту от сайтов-подделок

Фишинг – одна из старейших мошеннических практик, существующих в интернете. Она заключается в подмене настоящих веб-сайтов поддельными, которые имеют одинаковое оформление и даже схожий URL-адрес, что в свою очередь притупляет бдительность потенциальной жертвы. Цель фишинговых атак – изъять у обманутых пользователей учетные данные от их страниц в социальных сетях, банковских счетов и адресов электронной почты. Но Google придумала, как с ними бороться.

В актуальной версии Google Chrome появился встроенный механизм предупреждения о попытке входа на фишинговый сайт. Он анализирует адреса сайтов, на которые вы заходите, и сверяет их с историей предыдущих посещений. В случае нахождения частичных совпадений – к примеру, если вместо androidinsider.ru вы переходите по адресу androidiinsider.ru, заподозрить фальшивку в котором довольно непросто, – веб-браузер заметит это и выдаст предупреждение.

Как распознать поддельный сайт

Несмотря на то что механизм оповещения о возможной подмене URL-адресов работает автономно, Google оставляет решение о входе за человеком. В конце концов, может оказаться так, что пользователь пытается войти на разные версии одного и того же сайта. А на случай обнаружения фишинговых сайтов Google выпустила специальное расширение для Chrome под названием Suspicious Site Reporter (доступно не во всех странах). Оно позволит помечать мошеннические ресурсы, чтобы на удочку злоумышленников не попались другие пользователи.

Вообще, лично мне Google Chrome все больше напоминает операционку в операционке. Ведь, помимо поисковой функции, браузер занимается тем, что сканирует сайты на вирусы, ищет вредоносное ПО на компьютере, на который он установлен, придумывает за нас надежные пароли и даже позволяет устанавливать сторонние приложения и игры. К сожалению, такое обилие задач, выполняемых одной программой, неизменно приводит к повышенному ресурсо- и энергопотреблению, из-за которого многие и отказываются от Chrome.

https://androidinsider.ru/soft/google-dobavila-v-chrome-zashhitu-ot-sajtov-poddelok.html


Google исправила серьезный баг в Chrome

Google рекомендует пользователям скорее обновить десктопные версии браузера Chrome, чтобы защититься от серьезной уязвимости переполнения буфера стека. Соответствующее предупреждение компания опубликовала в четверг 26 октября, отметив, что она уже выпустила обновление для большинства браузеров.

«Мы обновили стабильную ветку браузера до версии 62.0.3202.75 на платформах Windows, Mac и Linux, и будем развертывать ее в ближайшие дни или недели», — написал в бюллетене безопасности Абдул Сайед (Abdul Syed), один из разработчиков Google Chrome.

Специалисты Google сообщили, что баг скрывался в Chrome V8, открытом движке JavaScript, который применялся на ОС Windows 7 и macOS 10.5 и более поздних версиях этих систем, а также на Linux-системах для процессоров с 32-разрядной архитектурой Intel (i386), ARM или MIPS.

Компания не спешит выпускать подробности уязвимости переполнения буфера стека CVE-2017-15396, аргументируя это тем, что «доступ к подробному описанию бага и ссылкам на него должен быть ограничен, пока большинство пользователей не установят обновление. Более того, мы не будем разглашать детали, пока не убедимся, что баг пропатчен в других проектах на основе этой сторонней библиотеки». По информации Google, движок Chrome V8 написан на C++ и Node.js, его можно встраивать в любые приложения на C++ или запускать отдельно.

Подобные баги обычно позволяют злоумышленникам выполнять произвольный код в рамках целевого приложения. Неудачная попытка воспользоваться эксплойтом заканчивается ошибкой типа «отказ в обслуживании», если верить описанию уязвимости на сайте сообщества OWASP.

Согласно анализу бреши, проведенному исследователями из Risk Based Security, ошибка закралась в библиотеку International Components for Unicode для C/C++, применяемую в V8. «В конечном счете, хотя баг поставил под удар V8 и Chrome, ошибочный код родился не в стенах Google», — утверждают эксперты Risk Based Security. Об этой уязвимости, названной ошибкой переполнения буфера при обработке нуль-терминированной строки, стало известно 11 октября.

ИБ-эксперт Ю Чжоу (Yu Zhou) из Ant-Financial Light-Year Security Lab заявил о существовании бага 30 сентября. За свою находку он получил 3000 долл. США в рамках программы Google по отлову багов.

В декабре 2016 года Google также закрыла несколько серьезных уязвимостей в Chrome, связанных с движком JavaScript V8. Один из багов давал «доступ к приватным свойствам в V8», а второй представлял собой уязвимость use-after-free.

В пятницу 27 октября Компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение об уязвимости переполнения буфера.

Днем ранее Google также обновила версию Chrome для Android (62.0.3202.73), исправив в ней баг с утечкой памяти и «серьезную проблему с аварийным завершением работы», как описано в бюллетене.

В последний раз Google обновляла десктопную версию браузера Chrome 62 еще 17 октября. Прошлое обновление до версии 62.0.3202.62 включало 35 исправлений безопасности, восемь из которых отнесены к серьезным, а семь — к средней степени тяжести. Наиболее щедрое вознаграждение в размере почти 9 тыс. долларов США Google выплатила анонимному эксперту за уязвимость UXSS с HHTML (CVE-2017-5124). Данная брешь, согласно описанию на Red Hat, «проявляется во время обработки искаженного веб-контента. Веб-страница с вредоносным контентом может вызвать аварийное завершение работы Chromium, выполнить произвольный код или украсть личные данные посетителя.

https://threatpost.ru/google-patches-high-severity-browser-bug/23026/


Microsoft раскрыла данные о критической уязвимости в Chrome

Уязвимость позволяет выполнить произвольный код во время процесса рендеринга в Chrome.

Исследователи безопасности из компании Microsoft раскрыли подробности о критической уязвимости в браузере Google Chrome, позволяющей злоумышленнику удаленно выполнить код.

Команда Microsoft Offensive Security Research (OSR) проанализировала JavaScript-движок Chrome V8 с помощью программы ExprGen, разработанной Microsoft для тестирования собственного JavaSript-движка Chakra. В ходе анализа исследователи обнаружили уязвимость, приводящую к утечке данных и позволяющую выполнить произвольный код во время процесса рендеринга в Chrome.

Chrome использует режим песочницы для обеспечения выполнения web-приложений в ограниченной среде. Это означает, что существует еще одна, пока не обнаруженная, уязвимость, позволяющая приложению обойти песочницу.

Исследователи Microsoft хотели определить, как далеко они смогут зайти без второй уязвимости. Как оказалось, выполнение произвольного кода в процессе рендеринга может использоваться для обхода правила ограничения домена (Single Origin Policy, SOP), которое предотвращает доступ вредоносному скрипту на одной странице к важным данным на другой.

Путем обхода SOP злоумышленник может похитить сохраненный пароль на любом сайте, внедрить произвольный скрипт JavaScript на странице с помощью универсального межсайтового скриптинга (UXSS) и незаметно перейти на любой сайт.

По словам исследователей, хотя наличие двухфакторной аутентификации снижает опасность кражи паролей, возможность скрытно посещать сайты под видом пользователя вызывает опасения, поскольку это может позволить злоумышленнику подменить личность пользователя на тех сайтах, где тот уже авторизовался.

Google исправила уязвимость CVE-2017-5121 в сентябре с выпуском версии Chrome 61, однако еще не публиковала информацию о ней. За информацию о вышеописанной и ряде других уязвимостей Google выплатила исследователям Microsoft в общей сложности $15 837.

Microsoft также указала на недостатки модели выпуска патчей для Chrome, основанного на открытом проекте Chromium. Проблема, по мнению Microsoft, заключается в том, что изменения исходного кода, которые устраняют уязвимости, часто появляются на GitHub до выпуска патча для пользователей. Таким образом злоумышленники получают возможность проэксплуатировать еще не исправленную уязвимость.

В свою очередь Google раскритиковала политику Microsoft в отношении исправления уязвимостей в ОС Windows. По словам исследователей Google, компания нередко выпускает патчи только для Windows 10, пренебрегая пользователями более старых версий операционной системы.

Напомним, ранее инженеры Google несколько раз публиковали информацию об уязвимостях в ОС Windows до выпуска соответствующих обновлений безопасности.

Подробнее: http://www.securitylab.ru/news/489200.php


Плагин для Chrome устанавливает майнер и использует Gmail жертвы для регистрации доменов

image

В настоящее время вредоносное расширение Ldi уже удалено из Chrome Web Store.

По мере роста популярности браузера Chrome растет и число вредоносных расширений для него. Злоумышленники используют «клоны» популярных плагинов для доставки рекламы, вредоносные расширения для подмены поисковых запросов или внедрения в браузер майнера криптовалюты Coinhive.

ИБ-эксперт Лоуренс Абрамс (Lawrence Abrams) обнаружил плагин Ldi, выводящий вредоносную активность расширений на новый уровень. Ldi не только устанавливает в браузере майнер Coinhive, но также использует учетную запись Gmail жертвы для регистрации бесплатных доменов с помощью сервиса Freenom.

Расширение распространялось через сайты с JavaScript-уведомлениями, призывающими установить плагин. Когда пользователь пытался закрыть уведомление, автоматически открывалась страница Ldi в Chrome Web Store. Описание продукта было малоинформативным. «Не знаете, совместима ли ваша домашняя страница с Mac? Узнайте с Ldi», — гласило описание плагина. В настоящее время вредоносное расширение уже удалено из Chrome Web Store.

Одними из первых в использовании Coinhive были уличены сайты The Pirate Bay и Showtime . В общей сложности тайным майнингом криптовалюты занимаются 220 сайтов.

Подробнее: http://www.securitylab.ru/news/489092.php


В магазин расширений Chrome проник блокировщик-самозванец

В официальный магазин Web Store, в котором размещаются расширения для браузера Chrome, попал поддельный плагин, маскирующийся под Adblock Plus — популярный блокировщик навязчивой интернет-рекламы. Как сообщил в Twitter анонимный эксперт по кибербезопасности @SwiftOnSecurity, перед удалением его успели скачать свыше 37 тысяч пользователей.

Дополнение от неназванного разработчика, притворявшееся Adblock Plus, копировало его интерфейс и называлось так же. Был ли в лже-программу встроен вредоносный код и какие данные могли быть скомпрометированы, неизвестно.

Google уже давно борется с расширениями-фальшивками, но с переменным успехом. В 2015 году компания запретила пользователям Windows и «маков» скачивать плагины для Chrome из любых других источников, кроме официального Chrome Web Store. В результате количество запросов в службу техподдержки, связанных с удалением нежелательных расширений, сократилось на 75%.

Однако полностью ограничить распространение вредоносного ПО это не помогло. Ранее от фишинговой атаки пострадала сама Google: весной этого года в Сети активно распространялась фальшивка «Документы Google», которая выманивала доступ к адресной книге и почте Gmail. Компания заблокировала аккаунты, с которых производилась рассылка поддельных писем, и пообещала «принять меры, которые предотвратят повторение подобной подмены».

https://hitech.vesti.ru/article/683410/


Microsoft нашла уязвимость в Chrome и получила $7500 от Google

 

Как и многие другие компании, несколько лет назад Google запустила программу Vulnerability Reward. В её рамках независимые программисты могут получить денежное вознаграждение за отчеты об уязвимостях в продуктах и сервисах Google. Довольно часто дыры обнаруживаются не только в продуктах Microsoft, но и в браузере Google Chrome. Несмотря на все его защитные механизмы, в огромном количестве строк кода всегда найдутся какие-то ошибки, что и доказали исследователи Microsoft.

14 сентября сотрудник подразделения Microsoft Offensive Security Research, по совместительству ещё и разработчик JavaScript-движка для Microsoft Edge, отправил в Google информацию о серьёзной уязвимости их браузера. Дыра в одном из компонентов Chrome позволяла получить несанкционированный доступ к памяти девайса. За этот репорт инженер Microsoft получил $7 500, а найденный баг был исправлен разработчиками Google в течение недели. Уже 21 сентября все пользователи Chrome для Windows, Linux и MacOS получили апдейт браузера с фиксом обнаруженной дыры (61.0.3163.100).

Стоит отметить, что Google среагировала на сообщение очень быстро. Когда такие проблемы возникают в Microsoft Edge, на их исправление уходит не меньше месяца, поскольку фирменный браузер Microsoft обновляется только вместе с Windows 10. Может, когда-нибудь редмондские разработчики наконец-то поймут, что вместо добавления в Edge никому не нужных эффектов прозрачности пора бы позаботиться о внедрении новых полезных функций и более частых апдейтах браузера. До этого момента Google будет продолжать завоевывать рынок, а Edge так и будет аутсайдером.

Источник: Chrome Releases Blog.

http://wp-seven.ru/stat-i/novosti/microsoft-nashla-uyazvimost-v-chrome-i-poluchila-7500-ot-google.html


Обнаружено первое расширение для Chrome с майнером криптовалюты

Майнинг криптовалют за счет ресурсов других пользователей сети, по всей видимости, набирает популярность

В расширении SafeBrowse для Chrome был обнаружен встроенный в код скрытый JavaScript-майнер криптовалюты Monero. Учитывая то, что данное расширение было установлено более 140 тыс. раз, это оказалось достаточно серьезной проблемой для многих пользователей.

Максимальная загрузка процессора и невозможность использовать компьютер в работе – такое состояние своих ПК пользователи замечали сразу же после открытия Chrome. Расширение SafeBrowse в версии 3.2.25 запускало криптовалютный модуль в фоновом режиме, который начинал майнить, как только браузер был открыт.

Обнаружено первое расширение для Chrome с майнером криптовалюты

В качестве доказательства достаточно открыть исходный код расширения, где можно заметить строчки с криптовалютным майнером от сервиса Coinhive, встроенным при помощи JavaScript. Данный майнер основан на алгоритме CryptoNight, который используется валютами Monero, Dashcoin, DarkNetCoin и другими.

Обнаружено первое расширение для Chrome с майнером криптовалюты

Интернет-пользователи тут же отреагировали на проблему. На странице расширения появилось множество отзывов соответствующего содержания, а в службу поддержки Chrome Web Store поступили жалобы о вредоносном ПО. На момент написания новости расширение пропало из магазина Chrome Web Store.

Обнаружено первое расширение для Chrome с майнером криптовалюты

Это первый случай скрытого майнинга через расширение для Chrome. На прошлой неделе в подобном был уличен торрент-ресурс The Pirate Bay, который встроил криптовалютный майнер в код некоторых своих страниц. Администрация The Pirate Bay объяснила это тестированием новой модели монетизации сайта, которая в будущем, возможно, заменит собой рекламу.

Что касается SafeBrowse, то создатель этого расширения отрицает свою причастность к встроенному майнеру. На запрос ресурса Bleeping Computer, он заявил, что расширение могло быть взломано злоумышленниками, поскольку официально не обновлялось в течение нескольких месяцев. На текущий момент он уже связался со службой поддержки Google.


Страницы:123