いますぐGoogleクロームをアップデートした方がいいよ!2020.11.13 07:0084,305 Brianna Provenzano - Gizmodo US [原文] ( Rina Fukazu ) まだの人はなるはやで!今週水曜日、グーグルは2件のゼロデイ脆弱性(過去3週間にブラウザで発見された4、5件目のセキュリティ欠陥)に対応するかたちでChromeバージョン86.0.4240.198を公開しました。 最近のゼロデイ攻撃とは同社はゼロデイ攻撃に関する詳細を明らかにしていませんが、月曜日と水曜日に匿名の情報源から脆弱性について警告を受けたことが伝えられています。また、10月20日と11月2日に発見された最初のゼロデイ3件は、内部のセキュリティ研究者によって発見されたものだといいます。 新しいChromeバージョン86.0.4240.198では、セキュリティ修正として「V8での
サイバーセキュリティ研究者のサム・ジャダリ氏は2019年7月20日、「ブラウザの拡張機能を介した壊滅的なデータ漏えい」として「DataSpii(データスパイ)」というセキュリティ問題を報告しました。ジャダリ氏によると、Google ChromeやMozilla Firefoxの拡張機能の一部が個人情報を含む閲覧履歴を収集し、入手した情報をインターネット上で販売していたとのことです。 DataSpii - A global catastrophic data leak via browser extensions https://securitywithsam.com/2019/07/dataspii-leak-via-browser-extensions/ My browser, the spy: How extensions slurped up browsing histories f
不正が相次ぐ事態に対応して、ユーザーによるコントロールの強化や、難読化されたコードのある拡張機能の締め出しを目指す。 米Googleは10月1日、WebブラウザChromeの拡張機能について、不正防止のための新たな対策を講じると発表した。悪質なコードを仕込んだ拡張機能が相次いで見つかっている事態を受け、摘発の強化を図る。 Googleの発表によると、次バージョンの「Chrome 70」からは、拡張機能によるWebサイト上のデータの読み取りや変更を許可する「ホストパーミッション」について、ユーザーがコントロールできるようにする。ユーザーは、拡張機能がホストアクセスできるサイトをカスタム版のリストに記載されたサイトに限定したり、現在閲覧中のページに対してクリックしなければアクセスできない設定を選択したりできるようになる。今後は強力な権限を持つ拡張機能に対する審査を強化する方針だ。 Chrome
この不具合は、ユーザーのPCに大量のファイルを保存させてフリーズさせた末に、エラー警告を表示する手口に利用されていた。 米GoogleのWebブラウザ「Chrome」で修正されていたはずの「ダウンロード爆弾」と呼ばれる不具合が、最近になって公開された「Chrome 67」で復活したと伝えられている。この不具合は、過去に技術サポート詐欺に悪用された事例が報告されていた。 ダウンロード爆弾の手口は、2018年2月の時点でセキュリティ企業のMalwarebytesが伝えていたもので、ファイルをローカルに保存するための「window.navigator.msSaveOrOpenBlob」というAPIを悪用していた。 攻撃には悪質な広告や改ざんされたWebサイトが利用され、ユーザーのPCにファイルを矢継ぎ早に保存させてフリーズさせた末に、エラー警告を表示。「直ちにMicrosoftに電話を。この重大
偽ブロッカーの作者は検索結果の上位に来るような用語をちりばめて、ユーザーがインストールするよう仕向けていたという。 モバイルやデスクトップ向けの広告ブロッカーを手掛けるAdGuardは、Googleの公式ストア「WebStore」で、Chrome向けの拡張機能として偽の広告ブロッカーが提供され、2000万人以上のユーザーがだまされてインストールしていたことが分かったと伝えた。 AdGuardのブログによると、偽ブロッカーの作者は、人気広告ブロッカーに数行のコードを付け加えただけの「クローン」を作成し、検索結果の上位に来るような用語をちりばめて、ユーザーがインストールするよう仕向けていたという。 そうした偽ブロッカーの1つ、「AdRemover」を詳しく調べた結果、javascriptライブラリのjQueryに隠した悪質なコードを使って、ユーザーが閲覧したWebサイトに関する情報を外部のサー
【注意】MacOS High Sierra+最新バージョンのChromeで、ページ内リンクの無効化(別のページへのリンクの書き換え)と不正なリダイレクトが現在確認できています。恐らくChromeに同じ拡張機能を入れているWindows環境でも同様かと思います。Google ChromeまたはVivaldiのアドオンに「Text Link Plus」を入れている場合は削除することをおすすめします。 Google Chromeの拡張機能「Text Link Plus」は、h抜きのアドレス(2ちゃんねるによくある、あえてURLの最初のhを抜いてttp://から始まる文字列)を補完して自動的にハイパーリンク化したりする便利なアドオンでしたが、2017年12月7日のアップデート(Ver. 1.3.0)以降、piet2eix3l.c o m(フィッシングサイトの可能性が高いのでリンク化していません)と
米Googleは9月5日(現地時間)、デスクトップ向けWebブラウザ安定版のアップデートとなる「Chrome 61」(61.0.3163.79)を公開した。今後数日から数週間かけてWindows、Mac、Linux向けに配信する。 一般ユーザーに直接関係のある新機能は特に追加されなかったが、Webブラウザで直接USB端末を接続できるようにする「WebUSB API」、Android版では既に利用できている支払いフォーム「PaymentRequest API」などが使えるようになった。 関連記事 Google、「Chrome 60」の安定版公開 Mac版は「Touch Bar」をサポート Webブラウザ安定版のアップデートとなる「Chrome 60」がWindows、Mac、Linux向けに公開された。40件の脆弱(ぜいじゃく)性に対処した他、Mac版ではMacBook ProのTouch
United States Computer Emergency Readiness Team (US-CERT)は7月21日(米国時間)、「Google Releases Security Update for Chrome」において、Google Chrome(Windows版、Mac版、Linux版)に複数の脆弱性が存在すると伝えた。これら脆弱性のうちのいくつかは、遠隔から攻撃者によって影響を受けたシステムの制御権を乗っ取られる危険性があり注意が必要。 すでに脆弱性を修正した次のバージョンが公開されている。 Google Chrome 52.0.2743.82 United States Computer Emergency Readiness Teamはユーザーや管理者に対して「Stable Channel Update - Wednesday, July 20, 2016」の内容
ある中国人研究者が、「Chrome」ブラウザを介して「Android」搭載のモバイルデバイスを乗っ取ることができる脆弱性を発見した。これによって、数百万人のユーザーがリスクに晒される可能性があるという。 東京で11月11~12日に開催された「PacSecセキュリティカンファレンス」で、Qihoo 360 Technologyの研究者Guang Gong氏は、最新のアップデートが適用されたAndroidデバイスを、このゼロデイ脆弱性を利用して乗っ取る方法を説明した。 Security Affairsの報道によれば、Guang氏はChromeブラウザを介して「V8 JavaScript Engine」の脆弱性を利用する方法で、Googleのワイヤレス通信サービス「Project Fi」に対応した「Nexus 6」を乗っ取って見せたという。このデバイスに搭載されているOSは、最新の「Androi
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Google Chrome」の(開発者向け)最新バージョンで、セキュリティプロトコルを実装するソフトウェア「OpenSSL」の使用が中止され、OpenSSLからフォークした独自の「BoringSSL」へと切り替えられた。切り替えに関する詳細な情報は、Chromium Code Reviewsで確認できる。 OpenSSLについては、いわゆる「Heartbleed」脆弱性が4月に発覚し、大きな話題を呼んだ。この脆弱性を突かれると、HTTPSを介して行われたクレジットカード決済の情報などのセキュアなメッセージの中身だけでなく、プライマリおよびセカンダリSSLキー自体も盗み見されてしまう可能性があった。またその後、中間者(MitM)攻撃を可
米GoogleのWebブラウザ「Chrome」が保存されたパスワードを平文で表示する機能を提供していることについて、Googleの担当者が掲示板サイトで「ユーザーに誤った安心感を与えたくない」とする同社の立場を説明した。 この問題はソフトウェア開発者のエリオット・ケンバー氏が自身のブログで指摘し、Googleのパスワードセキュリティ対策の甘さを批判していた。 Chromeブラウザのセキュリティ責任者ジャスティン・シュー氏は、掲示板サイト「Hacker News」でこれに反論。「保存されたパスワードへの唯一強力なパーミッションの境界はOSユーザーアカウントであり、Chromeではロックされたアカウント上のパスワードを安全に保つため、そのシステムが提供する暗号化ストレージを使っている」と説明する。 一方で、例えばシステムにロックを掛けないまま席を外すなどして、悪意を持った人物にアカウントにアク
世界ベンダーが公開しているセキュリティ関連ブログから、気になる話題を紹介する。今回はまず、Facebookのプロフィールを乗っ取ろうとするブラウザー拡張機能について。米マイクロソフトが注意を促している。 この脅威は最初にブラジルで確認され、マイクロソフトは「Trojan:JS/Febipos.A」として検出している。特に米グーグルの「Chrome」と米モジラの「Firefox」をターゲットにする。同マルウエアは、インストールされると、Chromeに対しては「du-pont.info/updates/削除済み/BL-chromebrasil.crx」というURLを、Firefoxに対しては「du-pont.info/updates/削除済み/BL-mozillabrasil.xpi」というURLを使って自身をアップデートする。 その後、ユーザーがFacebookにログインしているかどうか確認
米GoogleのChromeブラウザに新たな脆弱性が見つかり、更新版となるバージョン1.0.154.64が5月5日付でリリースされた。 脆弱性は2件あり、いずれもGoogleの社内で発見されたという。このうち、ブラウザプロセスの入力値検証エラーに起因する脆弱性は、悪用されるとログオンしたユーザーの権限で任意のコードを実行される恐れがあり、深刻度は最も高い「Critical」となっている。 もう1件の脆弱性は、Skia 2Dグラフィックスの整数オーバーフロー問題に起因し、悪用されるとGoogle Chromeのサンドボックス内で任意のコードを実行される可能性がある。深刻度は上から2番目に高い「High」となっている。 今回のバージョンではセキュリティ問題のほか、Google Chromeがデフォルトのブラウザになっていない場合は起動時に告知が表示されるようになった。また、Webアプリケーショ
文:Liam Tung(Special to CNET News.com) 翻訳校正:緒方亮、福岡洋一2009年01月30日 12時56分 セキュリティ研究者が、「Google Chrome」に影響を与えて「クリックジャッキング(clickjacking)」の危険をもたらす脆弱性を確認した。クリックジャッキングとは、攻撃者が正当なリンクを別のリンクに置き換えることによってブラウザの機能をハイジャックするというものだ。 SecNiche Securityのセキュリティ研究者Aditya Sood氏によると、Googleはこの脆弱性をすでに認識しており、Chromeバージョン1.0.154.43および以前のバージョンへのパッチに取り組んでいる。Sood氏は、この脆弱性を「Windows XP SP2」上で実行されているブラウザで確認したという。 Sood氏は米国時間1月27日にこの脆弱性を明ら
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く