谷歌修补商业间谍软件供应商利用的零日漏洞
谷歌已紧急修复 Chrome 中被商业间谍软件供应商利用的零日漏洞。
就在补丁发布前两天,谷歌威胁分析小组(TAG)的 Clement Lecigne 向 Chrome 团队报告了该漏洞。 谷歌表示,它已经意识到这个漏洞的存在,该漏洞被追踪为 CVE-2023-5217,并被描述为“libvpx 中 vp8 编码的堆缓冲区溢出”。
谷歌威胁分析小组(TAG)的研究员 Maddie Stone 在推特上发帖称,该 Chrome 漏洞已被利用来安装间谍软件。
该漏洞已在 Google Chrome 117.0.5938.132 中修复,该版本现已通过稳定桌面通道向 Windows、Mac 和 Linux 用户推出。
—— Techcrunch
Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day
WebP 编解码器中发现了重大漏洞,促使包括 Google 和 Mozilla 在内的主要浏览器加快发布更新来解决该问题。
这个新发现的漏洞,被标识为CVE-2023-4863,涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。对这个漏洞的恶意利用可能会危及数百万互联网用户的安全。
包含修复程序的软件版本号如下:
谷歌: Chrome版本 116.0.5846.187(Mac / Linux);Chrome版本 116.0.5845.187/.188(Windows)
Mozilla: Firefox 117.0.1;Firefox ESR 102.15.1;Firefox ESR 115.2.1;Thunderbird 102.15.1;Thunderbird 115.2.2
微软: Edge版本 116.0.1938.81
Brave: Brave 浏览器版本 1.57.64
请尽快更新到以上新版本。
—— Stack Diary
小米回应在用户不知情的情况下更改了Chrome浏览器主页
小米就海外版 MIUI 14 系统偷偷更改 Chrome 浏览器主页为“mintnav”的情况,昨日发布了声明。
官方声明如下:“大家好,米粉们,最近我们注意到你们遇到了Chrome主页被切换到Mintnav.com的问题,这是因为小米和Mintnav.com之间的合作导致的,如果你愿意,你可以随时从Chrome的设置中更改你的浏览器主页。谢谢。”
目前,这一变化是在用户升级到 MIUI 14 后发生的,这引发了用户对于此事一系列安全和隐私问题。用户可以在 Chrome 浏览器设置 – 主页 – 里更改回默认。
—— en.xiaomitoday.it 、xiaomiui.net
Chrome Web Store 正在进行重新设计,预览版现已上线
谷歌正在对其 Chrome 网上应用商店进行改进,推出了全新设计的预览版。
重新设计的 Chrome 网上应用商店,将拥有更现代的外观,“探索”主页上有一个突出显示的扩展和主题的循环列表,下面有类别、推荐等。
新的预览版可以在 Web Store Preview 上看到。
—— 9to5google
Chrome Web Store 正在进行重新设计,预览版现已上线
谷歌正在对其 Chrome 网上应用商店进行改进,推出了全新设计的预览版。
重新设计的 Chrome 网上应用商店,将拥有更现代的外观,“探索”主页上有一个突出显示的扩展和主题的循环列表,下面有类别、推荐等。
新的预览版可以在 Web Store Preview 上看到。
—— 9to5google
谷歌 Chrome iOS 测试版可以将地址栏放在屏幕底部
谷歌Chrome iOS的测试版本现在允许你将地址栏放在屏幕底部,这是一个不错的变化,可以让你将地址栏移得更靠近你的拇指——尽管值得注意的是,两年前苹果Safari 浏览器就可以调整地址栏的位置。
新的Chrome功能可以通过TestFlight获得。更改地址栏位置有两种方法。最简单的方法是长按该栏,这将弹出切换位置的选项。你还可以从Chrome的设置中更改栏的位置。(该功能尚未向 TestFlight 版本中的所有人推出。)
—— The Verge
从 Chrome 117 开始,当用户安装的扩展被下架时,Chrome 将主动提醒用户。
从 Chrome 117 开始,当用户安装的扩展不再位于 Chrome 网上应用商店时,Chrome 将会主动提示用户。这仅限于以下三种情况:
1. 开发人员取消发布该扩展程序。
2. 该扩展程序因违反 Chrome 网上应用商店政策而被下架。
3. 该项目被标记为恶意软件。
用户会在设置页面的“隐私与安全”部分遇到此功能。当用户点击“查看”时,他们将被带到扩展页面,并可以选择“删除扩展”或“隐藏警告”,与之前版本的Chrome一样,被标记为恶意软件的扩展会自动被禁用。
谷歌还在 Chrome 115 中测试默认启用“一律使用安全连接”,该功能启用后会自动将所有 http:// URL 升级为 https://。谷歌计划会很快将其推广给所有人。
谷歌还表示,当用户尝试在不安全的连接下,下载“高风险文件”时,Chrome 会显示警告。这些警告将于 9 月中旬推出。
—— 谷歌博客 1 、2
Chrome 116 发布,推进 Privacy Sandbox、引入一次性权限、提供文档画中画 API
谷歌今天发布了 Chrome 116 稳定版更新,其中最值得关注的调整,在于进一步弃用传统的第三方 cookie,进一步推广自家的“Privacy Sandbox”。谷歌计划在 2024 年下半年消除所有浏览器第三方 Cookie。
Chrome 116 稳定版另一个值得关注的改进则是“一次性权限”,用户访问某个网站后,对于网站发起的某个权限的请求,可以选择“仅允许本次”。
Chrome 浏览器早已支持视频画中画,而 Chrome 116 则新增了文档画中画模式。这种“文档画中画”模式提供了一个始终位于顶部的窗口,可以填充任意 HTML 元素。因此,它可以为视频内容提供更丰富的体验,也可用于其他目的。
—— IT之家 、Phoronix
增强 TLS 安全性:谷歌在 Chrome 116 中添加抗量子加密
谷歌宣布计划从 116 版本开始在其 Chrome 浏览器中添加对抗量子加密算法的支持。
谷歌在一篇文章中说到:“Chrome 浏览器将从 Chrome 116 开始支持 X25519Kyber768,用于在 TLS 中建立对称密钥。
Kyber 被美国国家标准与技术研究院选为通用加密候选方案,以应对量子计算的出现所带来的未来网络攻击。Kyber-768的安全性大致相当于AES-192。
该加密算法已被 Cloudflare、Amazon Web Services 和 IBM 采用。
X25519Kyber768 是一种混合算法,它结合了 X25519 和 Kyber-768 的输出,以创建用于加密 TLS 连接的强会话密钥。
虽然量子计算机造成严重风险预计还需要几年甚至几十年的时间,但某些类型的加密很容易受到一种名为“现在捕获,以后解密”的攻击。
这意味着,在 Chrome 浏览器中,我们越早更新 TLS 以使用抗量子会话密钥,就能越早保护网络流量免受未来量子密码分析的影响。
—— The Hacker News
