谷歌正在加快 Chrome 安全更新发布的步伐
为了更快地提供安全修复,从 Chrome 116 开始,Chrome 将每周发布稳定频道更新。
Chrome 每四个星期发布一个新的大版本更新,比如从版本 100 升级到版本 101。过去Chrome 会在中间进行一次稳定更新以解决安全问题。
现在,从 Chrome 116 开始,稳定版更新将在大版本更新之间每周发布一次。这意味着安全修复会更快地到达你身边。
Chromium是一个开源项目,为 Chrome 和许多其他浏览器提供支持。任何人都可以查看源代码、提交更改以供审核,并查看其他人所做的更改,甚至是安全错误修复。
这种开放性有利于测试修复和发现错误,但也有代价:恶意行为者可能会利用这些修复的可见性并开发漏洞来针对尚未收到修复的浏览器用户。这种对已知且已修补的安全问题的利用称为 n-day 攻击。
这就是为什么谷歌认为尽快发布安全修复以最小化这种“补丁间隔”非常重要。
—— Google 安全博客
谷歌因 Chrome 在无痕模式下跟踪用户被控赔偿 50 亿美元的诉讼即将开庭
世界上最受欢迎的浏览器 Google Chrome 的开发商即将面临一场诉讼。一名法官最近裁定,谷歌将不得不面对原告的诉讼,原告指控 Chrome 浏览器在用户使用无痕模式时跟踪用户。
在美国提起的一项集体诉讼称,Google Chrome 浏览器仍然允许网站收集用户的个人信息。该诉讼最初于 2020 年 6 月提交。
彭博社报道称,美国联邦法官周五驳回了 Alphabet 驳回此案的动议,裁定“谷歌没有通知用户,谷歌在用户处于隐私浏览模式时参与了所谓的数据收集”。
—— 9TO5Google
微软开始向 Chrome 用户推送 Bing Chat 邀请
一些 Chrome 用户在浏览网页时看到了“在 Chrome 中尝试由 Al 驱动的新 Bing”的提示。
单击该提示将打开有关新 Bing 的页面,并要求启用 Microsoft Bing 扩展。启用扩展会将 Bing 设置为默认搜索引擎并打开 Bing 主页。
但是,它不提供对新 Bing 的访问。如果您尝试使用聊天模式,您会看到一个屏幕,显示“聊天模式仅在您有权访问新 Bing 时才可用”。
所以这个弹出提示很有可能只是微软实际在 Chrome 中推出 Bing Chat 之前错误地出现了。
—— windowscentral 、9to5google
研究员指出 Chrome 应用商店中的恶意扩展程序。
不久前,研究员在 Google 的 Chrome 网上应用店中发现了几十个恶意扩展程序,最受欢迎的插件下载量超过 900 万次,这些插件总下载量为 8700 万次。
网络安全研究员 Vladimir Palant 在 Chrome网上应用店中发现一个下载量接近200万次的 PDF Toolbox 的扩展程序,其中包含可疑代码。该扩展在用户查看的所有页面上加载任意代码。
进一步的分析显示总共有 34 个恶意扩展,它们总共被下载了 8700 万次。研究人员发现的最流行的恶意插件是“Autoskip for Youtube”,下载量达 900 万次。
这些扩展程序于 2021 年和 2022 年上传到 Chrome 网上应用店,在其中一些评论区中,警惕的用户抱怨扩展程序用广告软件链接替换搜索结果中的地址,但并未被Google注意到。
在Palant的研究报告以及一个专家团队关于同一主题的另一篇论文发表后,谷歌终于删除了这些危险的扩展。
根据卡巴斯基的说明,应删除的恶意 Chrome 扩展程序。
—— 卡巴斯基官方博客
iOS 上的 Chrome 四种新功能
直接在 iOS 版 Chrome 中查看地址、创建日历事件、翻译网站和使用图像进行搜索。
1、当您在 iOS 上的 Chrome 中看到地址时,您不再需要切换应用程序来在地图上查找它。现在当您在 Chrome 中按住检测到的地址时,您会在 Chrome 内的迷你 Google 地图上查看到该地址地图。
2、iOS 版 Chrome 用户现在可以直接在 Chrome 中创建 Google 日历活动,而无需手动切换应用或复制信息。只需按住检测到的日期,然后选择将其添加到您的 Google 日历的选项。Chrome 会自动创建日历事件,并使用时间、地点和描述等重要详细信息填充日历事件。
3、更好的翻译,您现在还可以直接在 iOS 设备上的 Chrome 中长按选择要翻译的文本,选择使用 Google 翻译,即可翻译选定的部分。
4、通过搜索框旁边的镜头图标,您可以搜索您拍摄的新照片,还可以通过在浏览网站时长按图片来在 Chrome 中使用 Lens,以执行识别植物和实时翻译语言等操作。
谷歌将移除 Chrome 中的HTTPS安全锁图标,因为几乎所有的钓鱼网站都使用HTTPS
谷歌宣布,长期以来被认为是网站安全和可信度标志的锁图标将很快更换为一个新图标,该图标并不暗示网站是安全的或应该被信任的。
虽然首次引入是为了表明网站正在使用 HTTPS 加密来加密连接,但现在不再需要锁符号,因为现在超过 99% 的网页都是通过 HTTPS 在 Google Chrome 中加载的。
其中还包括在网络钓鱼攻击或其他恶意目的中用作登录页面的网站,旨在利用锁定图标来诱使目标认为他们可以免受攻击。
“这种误解并非无害——几乎所有钓鱼网站都使用 HTTPS,因此也会显示锁图标,”谷歌表示。
“误解如此普遍,以至于包括FBI在内的许多组织都发布了明确的指导意见,即锁图标并不是网站安全的标志。”
锁图标将在 Chrome 117 中更改为“调音图标的变体”。
—— Bleeping Computer
谷歌将在 Chrome 105 版本中测试 TLS ECH 。
ECH 将会是 TLS 的重大升级,HTTPS 连接会将 TLS ClientHello 中的信息泄露给网络,尤其是正在访问的网站的主机名。当网站支持时,ECH 允许使用服务器提供的密钥加密此消息,这样使得每次连接除了其发起者和接收者之外,其他人不知道访问的是什么,有助于保护用户隐私。
用户可通过
chrome://flags/#dns-https-svcb
chrome://flags/#encrypted-client-hello
chrome://flags/#use-dns-https-svcb-alpn
启用。
—— chromestatus
谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞
谷歌已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个被实际利用的高严重性零日漏洞。
浏览器供应商在周五发布的安全公告中说:谷歌知道CVE-2022-1096的一个漏洞被利用。
99.0.4844.84版本已经在稳定的桌面频道中向全球推出,谷歌表示,直到它到达整个用户群可能需要一个星期的时间。
今天修复的零日漏洞(被追踪为CVE-2022-1096)是Chrome V8 JavaScript引擎的一个高严重性的类型混淆弱点,由一名匿名安全研究员报告。
虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃,通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。
即使谷歌说它检测到这一零日漏洞的攻击,该公司也没有分享有关这些事件的技术细节或其他信息。
—— Bleepingcomputer
Chrome 发现严重漏洞,可导致浏览器崩溃可破坏用户数据
2月中旬,「零日漏洞」在Chrome 被安全研究人员发现,「零日漏洞」 (zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,这种攻击往往具有很大的突发性与破坏性。强大如Google 也遭到这一「待遇」。
据 Google 相关证据表明,在Chrome 已经发现黑客利用该漏洞发起攻击一事,最重要的是在Chrome 浏览器Animation 代码中发现的「use after free」漏洞。该漏洞可以导致浏览器崩溃,也可以配合其他行动破坏用户数据,植入并启动恶意代码造成各种混乱。这段时间谨慎利用Chrome 里面种种程式,如果要使用,那么一定要彻底地检测它们,如果不这样做,可能会损失惨重。
让人安心点的就是, Chrome 浏览器已经准备好更新,以修补这个最为严重的高危漏洞,之后的时间里将修补另外的10个漏洞,为安全起见,请即时更新至Chrome v98.0.4758 以上。
——Qooah
