记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

伪造的ChatGPT Chrome扩展程序劫持Facebook帐户以进行恶意广告

发现伪造的 ChatGPT 品牌 Chrome 浏览器扩展程序具有劫持 Facebook 帐户和创建流氓管理员帐户的功能,突出了网络犯罪分子用来分发恶意软件的不同方法之一。 “通过劫持备受瞩目的Facebook商业账户,威胁行为者创建了一支由Facebook机器人和恶意付费媒体设备组成的精英大军,”瓜迪奥实验室研究员Nati Tal在一份技术报告中说。“这允许它以牺牲受害者为代价,以类似蠕虫的方式推动Facebook付费广告。
发布时间:2023-03-14 10:51 | 阅读:69615 | 评论:0 | 标签:chrome

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

情报背景趋势科技发现命名为Earth Kitsune的攻击组织通过破坏与朝鲜有关的网站并托管恶意程序,正在向对朝鲜感兴趣的个人发起水坑攻击。组织名称Earth Kitsune关联组织未知战术标签持久化技术标签DII劫持、Chrome扩展情报来源https://www.trendmicro.com/en_us/research/23/b/earth-kitsune-delivers-new-whiskerspy-backdoor.html01 攻击技术分析当受害者观看网站视频时,注入网站的恶意脚本提示用户视频解码错误,诱导受害者下载安装解码器安装程序。
发布时间:2023-03-07 09:44 | 阅读:75937 | 评论:0 | 标签:攻击 chrome

Google Chrome多个安全漏洞通告

阅读: 28一、漏洞概述近日,绿盟科技CERT监测到Google Chrome官方发布安全公告,修复了多个安全漏洞。重点漏洞如下所示:Google Chrome释放后重用漏洞(CVE-2023-0927):由于Google Chrome中的Web Payments API存在释放后使用缺陷,能够破坏渲染器进程的远程攻击者通过诱导用户访问恶意的HTML页面来利用堆损坏漏洞,最终可实现在目标系统上执行任意代码。
发布时间:2023-02-27 16:44 | 阅读:206761 | 评论:0 | 标签:威胁通告 安全漏洞 漏洞防护 漏洞 安全 Google chrome

谷歌 Chrome 浏览器 110.0.5481.177/.178 发布,奇安信集团报告“中级”漏洞获 11000 美元赏金

IT之家 2 月 23 日消息,谷歌今天面向 macOS、Linux 和 Windows 平台,发布了 Chrome 110.0.5481.177/.178 版本更新。本次更新主要修复了 10 个漏洞,其中包括 1 个“关键”级别的安全漏洞。根据谷歌官方更新日志,macOS 和 Linux 平台用户会升级至 Chrome 110.0.5481.177 更新,而 Windows 平台会升级到 Chrome 110.0.5481.177/.178 更新。
发布时间:2023-02-23 11:46 | 阅读:211264 | 评论:0 | 标签:漏洞 chrome

Google Chrome推出减少内存占用和耗电的工具

Google 去年底释出 Chrome 108 时宣布它将发布工具减少浏览器的内存占用和改进电池续航。刚刚释出的 Chrome 110 桌面版本开始向用户提供这两个工具 Energy Saver 和 Memory Saver。Memory Saver 通过将不活跃标签进入睡眠模式而能节省最多 30% 的内存。如果用户重新访问那么标签将会重新加载。Energy Saver 则通过限制网站的后台活动和动画视频的视觉效果减少耗电,用户可选择在笔记本电池水平低于 20% 时启用,或者在笔记本电脑只使用电池不使用电源时启用。两项功能默认启用,用户可以随时关闭。
发布时间:2023-02-22 13:23 | 阅读:82559 | 评论:0 | 标签:内存 Google chrome

3秒复制任何人的嗓音,微软音频版DALL·E细思极恐;谷歌Chrome新特性:基于网站启用和禁用扩展程序

3秒复制任何人的嗓音,微软音频版DALL·E细思极恐 只需3秒钟,一个根本没听过你说话的AI,就能完美模仿出你的声音。 例如这是你的一小句聊天语音: 这是AI根据它模仿你说话的音色: 是不是细思极恐? 这是微软最新AI成果——语音合成模型VALL·E,只需3秒语音,就能随意复制任何人的声音。 它脱胎于DALL·E,但专攻音频领域,语音合成效果在网上放出后火了:有网友表示,要是将VALL·E和ChatGPT结合起来,效果简直爆炸:看来与GPT-4在Zoom里聊天的日子不远了。还有网友调侃,(继AI搞定作家、画家之后)下一个就是配音演员了。
发布时间:2023-01-16 15:28 | 阅读:144371 | 评论:0 | 标签:微软 chrome

108 版已修复,安全公司披露可窃取用户敏感信息的谷歌 Chrome 浏览器高危漏洞

IT之家 1 月 15 日消息,网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节,并警告称全球超过 25 亿用户的数据面临安全威胁。该公司表示,这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。IT之家了解到,在其博文中写道:“该漏洞是通过审查浏览器与文件系统交互的方式发现的,特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。Imperva Red 将符号链接(symlink)定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。
发布时间:2023-01-15 15:17 | 阅读:620262 | 评论:0 | 标签:漏洞 安全 chrome

让谷歌 Chrome 浏览器更安全,谷歌为 Chromium 引入 Rust 代码

IT之家 1 月 13 日消息,谷歌今天表示,允许 Rust 代码进入 Chromium 代码库。谷歌在构建 Chromium 版本过程中引入了 Rust 工具链,并允许 Chrome / Chromium 使用 Rust 库。在逐步接纳 Rust 代码之后,谷歌表示将会在明年完全支持 Rust 编程语言。谷歌为 Chromium 引入 Rust,能够让这款开源浏览器比 C++ 更简单、更安全,尤其是避免内存安全漏洞方面。IT之家小课堂:Rust 是由 Mozilla 主导开发的通用、编译型编程语言。设计准则为“安全、并发、实用”,支持函数式、并发式、过程式以及面向对象的编程风格。
发布时间:2023-01-13 15:18 | 阅读:127289 | 评论:0 | 标签:安全 chrome

谷歌 Chrome 浏览器将推新安全选项:阻止用户通过不安全的 HTTP 链接下载文件

IT之家 12 月 29 日消息,伴随着越来越多的网站部署 HTTPS,谷歌 Chrome 浏览器即将引入一项新的安全措施:阻止下载 HTTP 链接的文件。IT之家了解到,过去只有像银行这样对数据比较敏感的网站会使用 HTTPS 加密来保证安全,但现在 HTTPS 已经成为了大多数网站的标配。用户在谷歌 Chrome 浏览器访问 HTTP 站点,就会自动标记为“不安全”。而谷歌正计划扩大保护规模,在“Block insecure downloads”实验性 Flag 生效之后,如果用户尝试下载 HTTP 链接的文件,那么 Chrome 就会默认阻止。
发布时间:2022-12-29 12:22 | 阅读:125331 | 评论:0 | 标签:安全 HTTP chrome

二度屠榜谷歌Chrome最具价值精英榜!360六人上榜排名全球第一

近日,谷歌公布了2022 Top Chrome VRP Researchers最具价值精英榜单,公开致谢为Chrome和Chrome OS安全性提升做出杰出贡献的全球安全研究员。在这份榜单中,360数字安全集团共有六名安全专家入围,入选人数和综合排名全球第一。这也是360继去年屠榜2021 Chrome(VRP)Top20最具价值精英榜后的再次强势登顶,此次入选的非凡战绩,实力彰显出360在全球数字安全行业中的领导者地位!谷歌Chrome 漏洞奖励计划(VRP)自 2010 年启动以来,吸引了无数安全精英狩猎漏洞。
发布时间:2022-12-22 16:24 | 阅读:182549 | 评论:0 | 标签:360 chrome

Google Chrome V8类型混淆漏洞(CVE-2022-4262)通告

阅读: 0一、漏洞概述12月5日,绿盟科技CERT监测到Google官方发布了一个存在于Google Chrome V8中的类型混淆漏洞(CVE-2022-4262)。由于程序使用一种类型分配或初始化资源,如指针、对象或变量,但随后使用与原始类型不兼容的类型访问该资源,出现类型混淆错误,从而允许越界内存访问。远程攻击者通过诱导用户访问特制的Web站点,最终可实现任意代码执行或在系统上造成拒绝服务。CVSS评分8.8。目前已监测到在野利用,请相关用户尽快采取措施进行防护。Google Chrome是一款由Google公司开发的网页浏览器。
发布时间:2022-12-21 16:42 | 阅读:367160 | 评论:0 | 标签:威胁通告 安全漏洞 漏洞防护 漏洞 CVE Google 混淆 chrome

修复 8 处漏洞,谷歌 Chrome 浏览器 108 维护版本更新发布(附下载链接)

IT之家 12 月 16 日消息,谷歌近日为 Chrome 浏览器稳定版发布了第二个维护版本更新,修复了存在于该浏览器中的 8 个安全问题。在第一个维护更新中,谷歌修复了一个已证明被黑客利用的漏洞,而今天修复的漏洞目前并没有证据表明已被黑客利用。IT之家了解到,谷歌 Chrome 浏览器用户可以在地址栏上输入“chrome://settings/ help”进行更新。
发布时间:2022-12-16 15:17 | 阅读:252331 | 评论:0 | 标签:漏洞 chrome

Exploring Chrome’s CVE-2020-6418 – Part1

Introduction:Chrome vulnerabilities have been quite a hot topic for the past couple of years. A lot of vulnerabilities where caught being exploited in the wild. While most of the ones we looked at wer
发布时间:2022-12-13 00:01 | 阅读:193010 | 评论:0 | 标签:exp CVE chrome

Google 发布 Chrome 108 浏览器紧急更新以修补零日漏洞

上周五,Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新,以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做,请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本,在Windows上至少更新到108.0.5359.94/.95。 Google的Prudhvikumar Bommana在Chrome发布的博客上说,CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉,那是因为这是今年Chrome浏览器中的第三个此类漏洞。
发布时间:2022-12-09 15:35 | 阅读:256050 | 评论:0 | 标签:漏洞事件 Chrome Google 漏洞 chrome

CISA督促谷歌12月26日前修补Chrome漏洞

网络安全和基础设施安全局 (CISA) 在其已知可在攻击中利用的漏洞列表中又增加了一个安全漏洞。该漏洞被跟踪为CVE-2022-4262,已被用于针对 Windows、Mac 和 Linux 用户。谷歌称,知道有报道称 CVE-2022-4262 的漏洞存在于野外,这已是谷歌自今年年初以来修补的第九个 Chrome 零日漏洞。该漏洞是由谷歌威胁分析小组 Clement Lecigne 报告, Chromium V8 JavaScript 引擎中的高严重性类型混淆漏洞引起的。尽管类型混淆缺陷通常会在通过读取或写入缓冲区边界外的内存成功利用后导致浏览器崩溃,但攻击者也可以利用它们来执行任意代码。
发布时间:2022-12-07 16:16 | 阅读:324475 | 评论:0 | 标签:漏洞 chrome

谷歌修复了今年第九个积极利用的 Chrome 零日漏洞

Hackernews 编译,转载请注明出处: 谷歌为Chrome网络浏览器推出了紧急安全更新,以解决一个新的零日漏洞,该漏洞在野外被积极利用,追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日,谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节,以允许用户更新其Chrome安装。无论如何,黑客可以利用该漏洞来实现任意代码执行。
发布时间:2022-12-05 12:04 | 阅读:295474 | 评论:0 | 标签:安全快讯 漏洞 Chrome零日漏洞 Google chrome

WebUI:The easiest attack surface in Chromes

“WebUI “是一个术语,用于宽泛地描述用网络技术(即HTML、CSS、JavaScript)实现的Chrome浏览器的部分UI。Chromium中的WebUI的例子。Settings (chrome://settings)History (chrome://history)Downloads (chrome://downloads)关于webui具体怎么工作在这里将不展开,请参考官方文档详细阅读,本文将重点介绍webui中常见的几类漏洞模式。
发布时间:2022-12-05 11:42 | 阅读:158484 | 评论:0 | 标签:chrome

Chrome、Windows Defender和Firefox的0-day漏洞统统与西班牙一家商业IT公司有关联

谷歌的研究人员周三表示,他们发现一家总部位于西班牙巴塞罗那的IT公司居然销售利用Chrome、Firefox和Windows Defender中漏洞的高级软件框架。Variston IT自称专门提供定制的信息安全解决方案,包括嵌入式监控和数据采集(SCADA)及物联网集成技术、面向专有系统的定制安全补丁、数据发现工具、安全培训以及嵌入式设备安全协议的开发。据谷歌威胁分析小组的一份报告显示,Variston还销售其官网上没有提及的另一种产品:软件框架,为客户提供在他们想要监视的设备上偷偷安装恶意软件所需的一切。
发布时间:2022-12-02 13:27 | 阅读:305105 | 评论:0 | 标签:漏洞 windows chrome

Google Chrome紧急更新,修复年内第8个0day漏洞

日前,Google紧急更新修复了一个正被利用的Chrome桌面浏览器0day,这是今年 Chrome 的第8个0day。据悉,该高危漏洞编号为CVE-2022-4135,为GPU中的一个堆溢出漏洞,由Google Threat Analysis Group的Clement Lecigne在11月22日发现。在大部分用户完成更新前Google没有披露漏洞细节,它建议桌面用户立即更新到新版本107.0.5304.122。
发布时间:2022-11-28 13:20 | 阅读:310679 | 评论:0 | 标签:0day 漏洞 Google chrome

Chrome renderer RCE CVE-2022-1134

#Chrome renderer RCE CVE-2022-1134The write up can be found here. This is a bug in the v8 that I reported in March 2022. This bug allows RCE in the Chrome renderer sandbox by simply visiting a malicio
发布时间:2022-11-28 11:37 | 阅读:558105 | 评论:0 | 标签:CVE RCE chrome

修复高危漏洞,谷歌 Chrome 浏览器发布 107 紧急更新

IT之家 11 月 26 日消息,为修复已被黑客利用的安全漏洞,谷歌发布了 Chrome 浏览器 107 版本紧急更新。其它基于 Chromium 的浏览器也有望会在近期内跟进。IT之家了解到,谷歌已经为 Chrome Stable 版、Chrome Extended Stable 版、Android 端 Chrome 发布了紧急更新。
发布时间:2022-11-26 15:16 | 阅读:411121 | 评论:0 | 标签:漏洞 chrome

恶意插件让攻击者可以远程控制Google Chrome

一个名为“Cloud9”的Chrome浏览器僵尸网络近日被发现在外头肆虐,它利用恶意插件来窃取在线账户、记录击键内容、注入广告和恶意JavaScript代码,并利用受害者的浏览器来发动DDoS攻击。Cloud9浏览器僵尸网络实际上是一种针对Chromium浏览器(包括谷歌Chrome和微软Edge)的远程访问木马(RAT),让威胁分子可以远程执行命令。这个恶意的Chrome插件未出现在官方的Chrome网站商店中,而是通过其他渠道来传播,比如推送虚假的Adobe Flash Player更新的网站。
发布时间:2022-11-09 13:26 | 阅读:300132 | 评论:0 | 标签:攻击 远程 插件 Google chrome

技术前瞻|WebUI: The easiest attack surface in Chromes

"WebUI "是一个术语,用于宽泛地描述用网络技术(即HTML、CSS、JavaScript)实现的Chrome浏览器的部分UI。Chromium中的WebUI的例子。Settings (chrome://settings)History (chrome://history)Downloads (chrome://downloads)关于webui具体怎么工作在这里将不展开,请参考官方文档详细阅读,本文将重点介绍webui中常见的几类漏洞模式。
发布时间:2022-11-04 21:02 | 阅读:269929 | 评论:0 | 标签:chrome

Google Chrome远程代码执行漏洞(CVE-2022-3723)通告

阅读:26一、漏洞概述近日,绿盟科技CERT监测到Google Chrome官方发布安全公告,修复了Chrome V8(JavaScript引擎)中的远程代码执行漏洞,由于Chrome V8中存在类型混淆漏洞,远程攻击者可利用该漏洞在目标系统上任意执行代码。目前官方已发现在野利用,请相关用户采取措施进行防护。V8是由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。
发布时间:2022-10-31 22:31 | 阅读:373090 | 评论:0 | 标签:威胁通告 安全漏洞 漏洞防护 漏洞 CVE 远程 执行 Google chrome 远程代码执行

记一次chrome插件调试

 前言因为谷歌翻译退出中国,导致翻译不太好用了,所以去谷歌商店找了个用着还不错的翻译插件,没想到发现其全文翻译的功能每天只能使用3次,不限使用需要开会员。之前还没做过插件调试,这次就简单试试水,最后成功达到了目的,遂记录下。 调试过程思路因为这个插件每天只能全文翻译三次,当超过次数后会弹窗提示,导致功能不可用。
发布时间:2022-10-28 16:13 | 阅读:198573 | 评论:0 | 标签:插件 chrome

明年2月起谷歌Chrome将不再支持Windows 7

谷歌宣布自2023年2月起Chrome浏览器将不在支持Windows 7和Windows 8.1系统。2023年2月7日,谷歌将发布Chrome 110版本,之后谷歌Chrome将停止对Windows 7和Windows 8.1系统的支持。谷歌称,Chrome用户必须确保其设备至少运行在Windows 10以上系统版本,才能继续使用未来的Chrome更新版本。谷歌决定不再支持Windows 7和Windows 8.1系统版本与微软的Windows生命周期策略是一致的。
发布时间:2022-10-27 13:25 | 阅读:238198 | 评论:0 | 标签:windows chrome

安卓和Chrome将支持Passkey

谷歌宣布安卓和Chrome将支持Passkey。Passkey是密码和其他可被钓鱼的认证因子的安全提代方法。Passkey可以重用,不会在服务器被入侵时写了,可以保护用户应对钓鱼攻击。10月12日,谷歌宣布passkey将支持Chrome web浏览器和安卓操作系统,以简化跨APP、网站和设备的登入。
发布时间:2022-10-16 12:40 | 阅读:192217 | 评论:0 | 标签:chrome

SolarMarker 正在使用水坑攻击与伪造的 Chrome 浏览器更新进行攻击

在过去的三个月里,eSentire 的安全研究团队发现信息窃密恶意软件 SolarMarker 都没有发动攻击,却在最近忽然重返舞台。此前,SolarMarker 的运营者使用 SEO 投毒或者垃圾邮件来引诱受害者,受害者试图下载一些文档的免费模板,就被攻击者盯上了。最新的攻击中,攻击者开始利用伪造的 Chrome 浏览器更新作为水坑攻击的一部分。 SolarMarker 攻击时间线 SolarMarker 在长期休眠后,又忽然出现。SolarMarker 并不依赖大规模钓鱼邮件攻击,而是进行搜索引擎投毒。
发布时间:2022-10-14 16:15 | 阅读:411848 | 评论:0 | 标签:网络攻击 SolarMarker 水坑攻击 攻击 水坑 chrome

Chrome XSS Auditor Bypass Payload

测试版本:测试环境:===============================不需要交互http://115.159.0.191:8080/xss1.php?x=1%22%3E%3Cbr%3E%00%00%00%00%00%00%00%3Cscript%3Ealert%281%29%3C%2fscript%3Ehttp://115.1
发布时间:2022-10-13 02:49 | 阅读:200492 | 评论:0 | 标签:xss Tor chrome

chrome debug和我一些挖洞的经验

 为什么要写这个文章呢?因为我发现很多白帽子,甚至很牛逼的(代码能力远远比我厉害)都没这样玩过,因为很多次项目项目基本上在大家没输出情况下这些小技巧让我收获了很多不少漏洞。当然也许大佬们是看不起这些小漏洞小技巧,我写的目的是为了那些大部分懒人,或者基本没深入了解开发的不深入理解代码的能快速绕过简单web签名。最后分享一些实战中的小tips。希望帮助更多的新鲜血液的白帽子多赚钱,官网说法是多为了国家信息安全做贡献。
发布时间:2022-10-08 21:03 | 阅读:221340 | 评论:0 | 标签:chrome

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

❤用费0款退球星,年1期效有员会

标签云 ☁