记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

谷歌修复了今年第九个积极利用的 Chrome 零日漏洞

Hackernews 编译,转载请注明出处: 谷歌为Chrome网络浏览器推出了紧急安全更新,以解决一个新的零日漏洞,该漏洞在野外被积极利用,追踪为CVE-2022-4262。 CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。 2022年11月29日,谷歌威胁分析小组的Clement Lecigne报告了该漏洞。 谷歌没有分享有关该漏洞的技术细节,以允许用户更新其Chrome安装。无论如何,黑客可以利用该漏洞来实现任意代码执行。
发布时间:2022-12-05 12:04 | 阅读:52623 | 评论:0 | 标签:安全快讯 漏洞 Chrome零日漏洞 Google chrome

WebUI:The easiest attack surface in Chromes

“WebUI “是一个术语,用于宽泛地描述用网络技术(即HTML、CSS、JavaScript)实现的Chrome浏览器的部分UI。Chromium中的WebUI的例子。Settings (chrome://settings)History (chrome://history)Downloads (chrome://downloads)关于webui具体怎么工作在这里将不展开,请参考官方文档详细阅读,本文将重点介绍webui中常见的几类漏洞模式。
发布时间:2022-12-05 11:42 | 阅读:15387 | 评论:0 | 标签:chrome

Chrome、Windows Defender和Firefox的0-day漏洞统统与西班牙一家商业IT公司有关联

谷歌的研究人员周三表示,他们发现一家总部位于西班牙巴塞罗那的IT公司居然销售利用Chrome、Firefox和Windows Defender中漏洞的高级软件框架。Variston IT自称专门提供定制的信息安全解决方案,包括嵌入式监控和数据采集(SCADA)及物联网集成技术、面向专有系统的定制安全补丁、数据发现工具、安全培训以及嵌入式设备安全协议的开发。据谷歌威胁分析小组的一份报告显示,Variston还销售其官网上没有提及的另一种产品:软件框架,为客户提供在他们想要监视的设备上偷偷安装恶意软件所需的一切。
发布时间:2022-12-02 13:27 | 阅读:168000 | 评论:0 | 标签:漏洞 windows chrome

Google Chrome紧急更新,修复年内第8个0day漏洞

日前,Google紧急更新修复了一个正被利用的Chrome桌面浏览器0day,这是今年 Chrome 的第8个0day。据悉,该高危漏洞编号为CVE-2022-4135,为GPU中的一个堆溢出漏洞,由Google Threat Analysis Group的Clement Lecigne在11月22日发现。在大部分用户完成更新前Google没有披露漏洞细节,它建议桌面用户立即更新到新版本107.0.5304.122。
发布时间:2022-11-28 13:20 | 阅读:167185 | 评论:0 | 标签:0day 漏洞 Google chrome

Chrome renderer RCE CVE-2022-1134

#Chrome renderer RCE CVE-2022-1134The write up can be found here. This is a bug in the v8 that I reported in March 2022. This bug allows RCE in the Chrome renderer sandbox by simply visiting a malicio
发布时间:2022-11-28 11:37 | 阅读:135444 | 评论:0 | 标签:CVE RCE chrome

修复高危漏洞,谷歌 Chrome 浏览器发布 107 紧急更新

IT之家 11 月 26 日消息,为修复已被黑客利用的安全漏洞,谷歌发布了 Chrome 浏览器 107 版本紧急更新。其它基于 Chromium 的浏览器也有望会在近期内跟进。IT之家了解到,谷歌已经为 Chrome Stable 版、Chrome Extended Stable 版、Android 端 Chrome 发布了紧急更新。
发布时间:2022-11-26 15:16 | 阅读:248636 | 评论:0 | 标签:漏洞 chrome

恶意插件让攻击者可以远程控制Google Chrome

一个名为“Cloud9”的Chrome浏览器僵尸网络近日被发现在外头肆虐,它利用恶意插件来窃取在线账户、记录击键内容、注入广告和恶意JavaScript代码,并利用受害者的浏览器来发动DDoS攻击。Cloud9浏览器僵尸网络实际上是一种针对Chromium浏览器(包括谷歌Chrome和微软Edge)的远程访问木马(RAT),让威胁分子可以远程执行命令。这个恶意的Chrome插件未出现在官方的Chrome网站商店中,而是通过其他渠道来传播,比如推送虚假的Adobe Flash Player更新的网站。
发布时间:2022-11-09 13:26 | 阅读:178264 | 评论:0 | 标签:攻击 远程 插件 Google chrome

技术前瞻|WebUI: The easiest attack surface in Chromes

"WebUI "是一个术语,用于宽泛地描述用网络技术(即HTML、CSS、JavaScript)实现的Chrome浏览器的部分UI。Chromium中的WebUI的例子。Settings (chrome://settings)History (chrome://history)Downloads (chrome://downloads)关于webui具体怎么工作在这里将不展开,请参考官方文档详细阅读,本文将重点介绍webui中常见的几类漏洞模式。
发布时间:2022-11-04 21:02 | 阅读:186068 | 评论:0 | 标签:chrome

Google Chrome远程代码执行漏洞(CVE-2022-3723)通告

阅读:26一、漏洞概述近日,绿盟科技CERT监测到Google Chrome官方发布安全公告,修复了Chrome V8(JavaScript引擎)中的远程代码执行漏洞,由于Chrome V8中存在类型混淆漏洞,远程攻击者可利用该漏洞在目标系统上任意执行代码。目前官方已发现在野利用,请相关用户采取措施进行防护。V8是由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。
发布时间:2022-10-31 22:31 | 阅读:254685 | 评论:0 | 标签:威胁通告 安全漏洞 漏洞防护 漏洞 CVE 远程 执行 Google chrome 远程代码执行

记一次chrome插件调试

 前言因为谷歌翻译退出中国,导致翻译不太好用了,所以去谷歌商店找了个用着还不错的翻译插件,没想到发现其全文翻译的功能每天只能使用3次,不限使用需要开会员。之前还没做过插件调试,这次就简单试试水,最后成功达到了目的,遂记录下。 调试过程思路因为这个插件每天只能全文翻译三次,当超过次数后会弹窗提示,导致功能不可用。
发布时间:2022-10-28 16:13 | 阅读:127508 | 评论:0 | 标签:插件 chrome

明年2月起谷歌Chrome将不再支持Windows 7

谷歌宣布自2023年2月起Chrome浏览器将不在支持Windows 7和Windows 8.1系统。2023年2月7日,谷歌将发布Chrome 110版本,之后谷歌Chrome将停止对Windows 7和Windows 8.1系统的支持。谷歌称,Chrome用户必须确保其设备至少运行在Windows 10以上系统版本,才能继续使用未来的Chrome更新版本。谷歌决定不再支持Windows 7和Windows 8.1系统版本与微软的Windows生命周期策略是一致的。
发布时间:2022-10-27 13:25 | 阅读:112510 | 评论:0 | 标签:windows chrome

安卓和Chrome将支持Passkey

谷歌宣布安卓和Chrome将支持Passkey。Passkey是密码和其他可被钓鱼的认证因子的安全提代方法。Passkey可以重用,不会在服务器被入侵时写了,可以保护用户应对钓鱼攻击。10月12日,谷歌宣布passkey将支持Chrome web浏览器和安卓操作系统,以简化跨APP、网站和设备的登入。
发布时间:2022-10-16 12:40 | 阅读:123234 | 评论:0 | 标签:chrome

SolarMarker 正在使用水坑攻击与伪造的 Chrome 浏览器更新进行攻击

在过去的三个月里,eSentire 的安全研究团队发现信息窃密恶意软件 SolarMarker 都没有发动攻击,却在最近忽然重返舞台。此前,SolarMarker 的运营者使用 SEO 投毒或者垃圾邮件来引诱受害者,受害者试图下载一些文档的免费模板,就被攻击者盯上了。最新的攻击中,攻击者开始利用伪造的 Chrome 浏览器更新作为水坑攻击的一部分。 SolarMarker 攻击时间线 SolarMarker 在长期休眠后,又忽然出现。SolarMarker 并不依赖大规模钓鱼邮件攻击,而是进行搜索引擎投毒。
发布时间:2022-10-14 16:15 | 阅读:260276 | 评论:0 | 标签:网络攻击 SolarMarker 水坑攻击 攻击 水坑 chrome

Chrome XSS Auditor Bypass Payload

测试版本:测试环境:===============================不需要交互http://115.159.0.191:8080/xss1.php?x=1%22%3E%3Cbr%3E%00%00%00%00%00%00%00%3Cscript%3Ealert%281%29%3C%2fscript%3Ehttp://115.1
发布时间:2022-10-13 02:49 | 阅读:117475 | 评论:0 | 标签:xss Tor chrome

chrome debug和我一些挖洞的经验

 为什么要写这个文章呢?因为我发现很多白帽子,甚至很牛逼的(代码能力远远比我厉害)都没这样玩过,因为很多次项目项目基本上在大家没输出情况下这些小技巧让我收获了很多不少漏洞。当然也许大佬们是看不起这些小漏洞小技巧,我写的目的是为了那些大部分懒人,或者基本没深入了解开发的不深入理解代码的能快速绕过简单web签名。最后分享一些实战中的小tips。希望帮助更多的新鲜血液的白帽子多赚钱,官网说法是多为了国家信息安全做贡献。
发布时间:2022-10-08 21:03 | 阅读:122225 | 评论:0 | 标签:chrome

研究:谷歌 Chrome 浏览器是截至目前 2022 年漏洞最多的浏览器,Edge 排第三

IT之家 10 月 7 日消息,Atlas 的新研究发现,谷歌 Chrome 浏览器是 2022 年最易受攻击的网络浏览器。根据该报告,Chrome 浏览器今年已经记录了 303 个漏洞,也是唯一一个在 10 月出现了新安全漏洞的网络浏览器。紧随谷歌浏览器之后,排在第二位的是 Mozilla Firefox,有 117 个漏洞,而微软 Edge 排在第三,有 103 个。Safari 和 Opera 排名第四和第五,分别有 26 和 0 个漏洞。IT之家了解,总的漏洞数量方面,Chrome 浏览器也名列前茅,该浏览器自 2008 年 9 月推出以来总共有 3159 个漏洞。
发布时间:2022-10-07 17:34 | 阅读:325539 | 评论:0 | 标签:漏洞 chrome

报告称Chrome存在的漏洞数量最多

根据 Atlas VPN 本周三发布的报告,Google Chrome 存在的漏洞数量最多。截至 2022 年,该浏览器共发现 303 个漏洞,累计漏洞数量达到 3159 个。这些数字均来自于 VulDB 数据库,时间为 2022 年 1 月 1 日至 10 月 5 日。 虽然国庆假期才刚刚开始,在短短 5 天时间里 Google Chrome 就发现了新的漏洞。最近的包括 CVE-2022-3318、CVE-2022-3314、CVE-2022-3311、CVE-2022-3309 和 CVE-2022-3307。CVE 程序跨多个平台跟踪安全漏洞和漏洞。
发布时间:2022-10-06 11:42 | 阅读:338683 | 评论:0 | 标签:漏洞 chrome

安全团队警告:不要激活微软 Edge / 谷歌 Chrome 浏览器增强拼写检查功能,会暴露密码

IT之家 9 月 20 日消息,otto-js 安全团队最近的研究发现,正在由 Microsoft 编辑器和 Google Chrome 中增强的拼写检查设置检查的数据分别被发送回 微软和谷歌。这些数据包括了用户名、电子邮件、DOB、SSN,以及基本上输入到由这些功能检查的文本框中的任何内容。作为附加说明,这些功能甚至可以发送密码,但只有当按下“显示密码”按钮时,才能将密码转换为可见文本,然后对其进行检查。关键问题围绕敏感的用户个人身份信息 (PII) 解决,这是访问内部数据库和云基础设施时企业凭据的关键问题。
发布时间:2022-09-20 17:30 | 阅读:132810 | 评论:0 | 标签:安全 微软 密码 chrome

类似微软 Edge,谷歌 Chrome 浏览器正测试自动填充密码新安全功能

IT之家 9 月 19 日消息,谷歌 Chrome 可能会获得类似于微软 Edge 的侧边栏搜索功能。这将允许用户突出显示网页中的任何文本,以在网络上查找有关它的更多信息,而无需打开新标签。搜索结果显示在当前网页右侧的窗格中,显示所有相关链接、图像、定义和视频。现在,谷歌 Chrome 似乎也将获得另一项微软 Edge 功能,属于安全性增强。微软 Edge 浏览器实际上提供了“使用设备密码登录”设置。IT之家获悉,当用户在表单中自动填充密码时,这会增加新的安全层,它会在自动填充密码之前提示用户输入设备凭据。从本质上讲,设备凭据可充当用户通过 Edge 浏览的任何网站上自动填充凭据的一种主密码。
发布时间:2022-09-19 17:34 | 阅读:137934 | 评论:0 | 标签:自动 安全 微软 密码 chrome

Chrome / Edge 中拼写检查功能或导致用户个人信息失窃

otto-js 安全研究团队于本周五发布博文,概述了在未经用户许可且用户不知情的情况下,黑客可以利用 Google Chrome 和 Microsoft Edge 浏览器中的增强拼写功能,将密码和个人身份信息 (PII) 传输到第三方基于云的服务器。 该漏洞不仅让普通最终用户的私人信息面临风险,而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特(Josh Summit)在测试公司的脚本行为检测能力时发现的。
发布时间:2022-09-19 14:54 | 阅读:119035 | 评论:0 | 标签:安全快讯 网络安全 Chrome chrome

[图]Chrome/Edge中拼写检查功能或导致用户个人信息失窃

该漏洞不仅让普通最终用户的私人信息面临风险,而且还可能使组织的管理凭据和其他与基础设施相关的信息暴露给未经授权的各方。该漏洞是由 otto-js 联合创始人兼首席技术官乔什·施密特(Josh Summit)在测试公司的脚本行为检测能力时发现的。在测试过程中,施密特和 otto-js 团队发现,在 Chrome 浏览器中的“增强拼写检查”和 Edge 浏览器的“MS Editor”中,正确组合功能会无意中暴露包含 PII 和其他敏感信息的字段数据,并将其发送回微软和Google服务器。这两个功能都要求用户采取明确的行动来启用它们,一旦启用,用户通常不会意识到他们的数据正在与第三方共享。
发布时间:2022-09-19 14:44 | 阅读:123266 | 评论:0 | 标签:chrome

安全公司发警告:不要激活Edge、Chrome的增强拼写检查功能

如果你正在使用Edge和Chrome的增强拼写检查功能,那么现在是时候放弃它们了,因为一份新报告显示,该功能实际上可以将你的表格数据发送到拥有上述浏览器的科技巨头那里。 据名为otto-js的JavaScript安全公司披露称,当Chrome的增强拼写检查功能和Edge的微软编辑器拼写和语法检查器(Microsoft Editor Spelling & Grammar Checker)浏览器插件被用户手动激活时就会发生这种情况。尽管如此,值得注意的是,这两种浏览器都有自己的基本拼写检查器默认启用,但它们不会构成安全风险,因为它们的行为与增强功能不同。
发布时间:2022-09-19 14:39 | 阅读:119769 | 评论:0 | 标签:安全 chrome

Google Chrome可能带来一个自动填写密码功能的安全加强

昨天我们了解到,Google Chrome浏览器可能会有一个类似于微软Edge的侧边栏搜索功能。这将允许用户突出显示网页中的文本,在网上寻找更多相关信息,而无需打开新标签。搜索结果出现在当前网页右侧的窗格中,并展示所有相关的链接、图片、定义和视频。现在,似乎Chrome浏览器也在获得另一个Edge功能,这次是安全方面的增强。 一些微软Edge用户可能没有意识到这一点,但该浏览器实际上提供了一个"用设备密码登录"的设置。当你在表格中自动填写密码时,这增加了一个安全层,因为它提示你在自动填写密码之前输入你的设备凭证。
发布时间:2022-09-17 17:33 | 阅读:166628 | 评论:0 | 标签:自动 安全 Google 密码 chrome

谷歌Chrome浏览器再现0 day漏洞 已发布更新补丁

9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。 9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个高风险安全漏洞,该漏洞修补了一个危险的 0 day 漏洞,即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。
发布时间:2022-09-11 00:09 | 阅读:239098 | 评论:0 | 标签:漏洞 chrome

微软Defender将Chrome、Edge等错误标记

微软Defender将Chrome、Edge、Electron等错误标记为Win32/Hive.ZY。9月4日,微软推送Defender签名更新1.373.1508.0时加入了2个新的威胁检测,包括Behavior:Win32/Hive.ZY。微软Win32/Hive.ZY检测页面称,可疑行为的通用检测是为了找出可能的恶意文件。如果用户通过邮箱下载或接收文件,在打开之前需要确保其来源是可靠的。
发布时间:2022-09-10 12:47 | 阅读:185555 | 评论:0 | 标签:微软 chrome

谷歌 Chrome 浏览器再现 0 day 漏洞,已发布更新补丁

IT之家 9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个高风险安全漏洞,该漏洞修补了一个危险的 0 day 漏洞,即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。
发布时间:2022-09-07 14:31 | 阅读:253891 | 评论:0 | 标签:漏洞 chrome

Google发布Chrome 105稳定版更新:修复高危零日漏洞

如果你习惯使用 Chrome 浏览器上网,那么小编推荐你尽快检查下更新。在 Google 推出的更新中修复了追踪编号为 CVE-2022-3075 的高危零日漏洞,目前已经有证据表明有黑客利用该漏洞执行攻击。 访问:阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 在部分匿名用户于 8 月 30 日报告该问题之后,Google 立即着手修复该问题。安装本次更新之后,Chrome 版本号升至为 105.0.5195.102,这也是 2022 年 Google 修复的第 6 个 Chrome 零日漏洞。
发布时间:2022-09-06 16:52 | 阅读:247884 | 评论:0 | 标签:漏洞 Google chrome

CVE-2022-3075:Google Chrome远程代码执行漏洞通告

 0x01   漏洞简述2022年09月05日,360CERT监测发现Google官方发布了Google Chrome的风险通告,漏洞编号为CVE-2022-3075,漏洞等级:高危,漏洞评分:7.4。该漏洞已出现在野利用。由于Microsoft Edge(基于 Chromium)使用了 Chromium 开源软件 (OSS),因此也受到影响,具体参见下方影响版本。Google Chrome是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。
发布时间:2022-09-06 14:52 | 阅读:233932 | 评论:0 | 标签:漏洞 CVE 远程 执行 Google chrome 远程代码执行

恶意Chrome扩展影响140万用户

McAfee研究人员发现了5个恶意Chrome浏览器扩展,影响超过140万用户。McAfee研究人员分析浏览器扩展发现了多个恶意Chrome扩展。除了提供扩展功能外,浏览器扩展还可以追踪用户浏览记录。每个访问的网站都会被恶意浏览器扩展创建者发送给其服务器。此外,恶意浏览器扩展还可以修改网站cookie,使得扩展开发者可以接收到支付信息。而浏览器扩展的用户甚至没有意识到恶意扩展的隐私威胁。
发布时间:2022-09-05 12:43 | 阅读:142523 | 评论:0 | 标签:chrome

谷歌发布紧急 Chrome 更新以修复新的零日漏洞

Hackernews 编译,转载请注明出处: 9月2日,谷歌发布了紧急补丁,以修复Chrome浏览器中的一个安全漏洞,据称该漏洞正在被广泛利用。 该漏洞被跟踪为CVE-2022-3075,涉及Mojo中数据验证不足的情况,Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。 这家互联网巨头表示:“谷歌知道有报道称CVE-2022-3075在野外存在漏洞,但没有深入研究有关攻击性质的更多细节,以防止其他黑客利用该漏洞。
发布时间:2022-09-05 11:53 | 阅读:179178 | 评论:0 | 标签:漏洞 网络安全 Google 零日漏洞 chrome

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁