谷歌正在为其Chrome浏览器的两个漏洞发布修复程序,包括一个已知正在被利用的漏洞
该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户,以及那些使用其他基于Chromium的浏览器,如微软Edge、Brave和Vivaldi。
这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。
其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞,这是一个高严重性的零日漏洞,正被攻击者积极滥用。在类型混淆漏洞中,程序将使用一种类型分配资源,如指针或对象,但随后将使用另一种不兼容的类型访问该资源。在某些语言中,如C和C++,该漏洞会导致越界内存访问。
这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。
—— theregister
谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞
本周早些时候,Google 发布了 2022 年 4 月份的 Android 安全更新,但它并未包含对上月曝光的“Dirty Pipe”漏洞的修补。
庆幸的是,尽管大多数厂商可能要拖到 5 月才推出补丁,但谷歌和三星已经先行一步。
据悉,作为 Linux 内核中发现的一个安全漏洞,CVE-2022-0847 会允许某人在只读进程中注入并覆盖数据,而无需 root 或任何管理员权限。
XDA-Developers指出:Dirty Pipe 漏洞已被用于在 Android 设备上实现临时 root 访问,但也很容易被恶意软件和其它未知软件获得系统访问权限。
目前 Linux 内核(Kernel 5.16.11、5.15.25 和 5.10.102)已经完成 CVE-2022-0847 安全漏洞的修复,但可惜谷歌尚未将它全面包含到 2022 年 4 月份的 Android 安全更新中。
不愿等待 5 月安全更新的朋友,如果你正在使用 Pixel 6 / 6 Pro,那现在已经能够获取谷歌在周四发布的 Android QPR3 Beta 2(包含该内核补丁)。
与此同时,三星也率先为旗下 Galaxy 设备的 4 月 Android 更新引入了该修复程序(有在安全公告中提及 CVE-2022-0847),且被验证能够抵御 Dirty Pipe 攻击。
尴尬的是,小米12 / 12 Pro 的速度太过拖沓 —— 自 2 月首发以来,尚未向用户提供过安全更新,此外一加等 Android 智能机厂商也尚未发布其 4 月更新。
在此之前,还请广大 Android 智能机用户保持良好的使用习惯,尤其注意不安装来源不明的 APK 文件。
—— cnBeta
俄罗斯宣布制裁Google,即不投放广告
综合俄罗斯塔斯社、俄新社等媒体报道,俄罗斯通信监管机构——俄联邦电信、信息技术和大众传媒监管局7日发布消息称,由于美国谷歌公司 “多次违反俄罗斯法律”,该监管机构决定对其采取相关强制措施。
即对谷歌及其下属信息资源平台采取两项措施,分别是多个搜索引擎系统通知自己的用户谷歌违反了俄法律,以及禁止投放谷歌公司及其下属信息资源平台的广告。
扩展:网友a提问,只是不在Google平台投放广告?网友b提问,还可以用Google搜索?
谷歌命令俄罗斯翻译人员不得将乌克兰战争称为战争
内部邮件显示,尽管该公司采取了反战立场,但还是向克里姆林宫的法令低头。
3月初,为谷歌公司工作的承包商在为俄罗斯市场翻译公司文本时,收到了客户的更新。即日起,正在进行的俄罗斯对乌克兰的战争不能再被称为战争,而只能被模糊地称为 “特殊情况”。
The Intercept获得的这封内部邮件是由一家为谷歌和其他客户翻译公司文本和应用程序界面的公司管理层发出的。
这封邮件传递了来自谷歌的指示,其中有新的措辞。该指示还指出,”战争 “一词应继续在其他市场上使用,这一政策变化的目的是使谷歌符合俄罗斯在入侵乌克兰后刚刚颁布的审查法。
当被问及该指导意见时,谷歌发言人Alex Krasov告诉The Intercept:”虽然我们已经暂停了谷歌广告和我们在俄罗斯的绝大部分商业活动,但我们仍然关注我们当地员工的安全。正如人们广泛报道的那样,目前的法律限制了俄罗斯境内的通信。这并不适用于我们的信息服务,如搜索和YouTube”。
据一位翻译向The Intercept透露,这些命令适用于所有翻译成俄语的谷歌产品,包括谷歌地图、Gmail、AdWords,以及谷歌的政策和与用户的沟通。(该翻译要求匿名,以避免其雇主的报复)。
—— The Intercept
谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞
谷歌已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个被实际利用的高严重性零日漏洞。
浏览器供应商在周五发布的安全公告中说:谷歌知道CVE-2022-1096的一个漏洞被利用。
99.0.4844.84版本已经在稳定的桌面频道中向全球推出,谷歌表示,直到它到达整个用户群可能需要一个星期的时间。
今天修复的零日漏洞(被追踪为CVE-2022-1096)是Chrome V8 JavaScript引擎的一个高严重性的类型混淆弱点,由一名匿名安全研究员报告。
虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃,通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。
即使谷歌说它检测到这一零日漏洞的攻击,该公司也没有分享有关这些事件的技术细节或其他信息。
—— Bleepingcomputer
谷歌将允许Spotify用户在应用内选择其他支付方式
Spotify Technology SA 已与谷歌达成协议,将在其应用程序中为用户提供一种替代支付方式,这是应用程序商店对第三方软件的控制力减弱的最新迹象。
这家流媒体音乐服务公司和Alphabet Inc. (GOOG)旗下的这家搜索巨头周三宣布了这项交易,Spotify在Google Play商店中的应用将能提供除谷歌自家支付方式之外的支付选项。谷歌支付方式的收入分成最高可达30%。
为了避免这笔费用,Spotify不允许用户通过谷歌的应用程序注册付费服务,用户需要到该音乐公司的网站进行注册。
Spotify的发言人不予透露谷歌从替代性支付方式中收取的收入分成。Spotify说,这种替代支付方式预计将在今年晚些时候开始推出。
—— 华尔街日报
欧盟和英国对谷歌与Facebook的一项广告交易展开反垄断调查
欧盟和英国将加大各自对大型科技公司的打击力度,双方的监管部门将对Alphabet Inc. (GOOG)旗下谷歌与Facebook母公司Meta Platforms Inc. (FB)是否曾试图非法操纵数字广告价格展开正式的反垄断调查。
欧盟最高反垄断执法机构欧盟委员会周五表示,该委员会和英国竞争和市场管理局(Competition and Markets Authority, 简称CMA)将各自对2018年曾秘密进行的一项交易展开调查。该交易被称为“Jedi Blue”,最初出现在一年半之前得克萨斯州牵头的多个州政府提起的一项诉讼中。
得克萨斯州的诉讼称,谷歌给予了Meta特殊条款和对谷歌广告服务器的访问权,作为回报,Facebook放弃了一项与谷歌存在竞争关系的广告技术,该技术原本可能会削弱谷歌对在线广告的控制。谷歌的广告服务器使用非常广泛,用于分配互联网的广告空间。
—— 华尔街日报
谷歌将以54亿美元收购网络安全公司Mandiant 加入谷歌云计算部门
谷歌(Google Inc., GOOGL)周二表示,已签署一项最终协议,以每股23美元、总计约54亿美元的现金收购网络安全公司Mandiant Inc. (MNDT)。该股周一收盘价为22.49美元。
科技新闻网站The Information周一首先报道了这项交易,预计该交易将在今年晚些时候完成,之后Mandiant将加入谷歌云计算部门。
Mandiant将助力谷歌的咨询服务、威胁检测和情报、自动化和响应工具、测试和验证以及管理防御。
—— 华尔街日报
俄罗斯要求谷歌封禁有关俄乌冲突的“虚假”广告
俄罗斯要求谷歌(Google)停止展示一些在线视频广告,称这些广告是关于乌克兰的 “虚假政治信息”,眼下俄方正加大力度阻止人们获取与其官方说法相悖的有关其入侵乌克兰的信息。
俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)表示,谷歌旗下YouTube视频服务正开展大规模宣传活动以误导俄罗斯观众。该监管机构称,相关活动“旨在制造对当前事件的扭曲看法”并煽动抗议。
该监管机构要求谷歌停止展示此类广告,并改变广告管理政策,但并未表示如果谷歌不这么做其将封锁YouTube。在此三天前,该监管机构发发出过类似的命令,要求谷歌停止在通过Google Ads销售的上下文广告中展示俄方所认为的虚假信息。Google Ads在第三方网站上显示广告。
—— 华尔街日报
谷歌暂停乌克兰地图工具
Alphabet Inc旗下谷歌公司证实,基于乌克兰社区的安全,该公司已经暂停提供乌克兰的一些谷歌地图工具。
路透社报道,谷歌公司星期天(2月27日)表示,在与地区当局等消息来源进行协商之后,决定在全球范围内禁止使用涉及乌克兰的交通状况以及人群聚集场所例如商店和餐馆等的实时信息。
—— 联合早报