Google Chrome Patches High-Severity Vulnerabilities – CVE-2024-12381 & CVE-2024-12382
2024/12/10 SecurityOnline — Google が発表したのは、Chrome ブラウザの最新 Stable チャンネルにおけるアップデートである。今回のアップデートでは、複数のセキュリティ欠陥が修正されているが、その中には、深刻度 “High” に分類される2件の脆弱性も含まれる。このアップデートは、今後の数日から数週間をかけて、Windows/Mac/Linux ユーザーに展開されるという。それぞれの Chrome のバージョンだが、Windows/Mac 版は 131.0.6778.139/.140 であり、Linux 版は 131.0.6778.139 である。
Continue reading “Google Chrome の脆弱性 CVE-2024-12381/12382 が FIX:ただちにパッチを!”Google Chrome Addresses High-Severity Flaw in V8 JavaScript Engine (CVE-2024-12053)
2024/12/03 SecurityOnline — Google がリリースしたのは、V8 JavaScript エンジンに存在する、深刻なタイプ・コンフュージョンの脆弱性 CVE-2024-12053 を緩和する、Chrome ブラウザ向けのセキュリティ・アップデートである。この脆弱性の悪用に成功した攻撃者は、ユーザーのシステム上で任意のコードを実行し、セキュリティおよびプライバシーを侵害する可能性を得る。
Continue reading “Google Chrome の脆弱性 CVE-2024-12053 が FIX:直ちにアップデートを!”DOJ Proposes Breaking Up Google: Calls for Sale of Chrome Browser
2024/11/21 HackRead — Google に対する反トラスト訴訟において DOJ は、Chromeブラウザの売却および、検索処理の制限、そして、独占を制限するための事業再編などの、厳しい提案を行っている。米国司法省 (DOJ) は、Google に対する反トラスト訴訟の一環として、同社の事業構造とインターネットにおける役割を完全に変えると思われる、きわめて大きな変革を提案している。
Continue reading “Google は Chrome 事業を売却すべきだ:米司法省が唱える反トラスト訴訟とは?”Google Chrome Patches High-Severity Flaw CVE-2024-11395 in Latest Stable Release
2024/11/19 SecurityOnline — Google がリリースした、デスクトップ向け Chrome ブラウザの最新 Stable バージョンは、3件のセキュリティ脆弱性に対処するものだ。そのうちの1件は、High の評価を受けている。今回のアップデートは、Windows/Mac 向けのバージョン 131.0.6778.85/.86 と、Linux 向けのバージョン 131.0.6778.85 であり、今後の数日から数週間かけてユーザーに公開されていく。
Continue reading “Google Chrome 131 の脆弱性 CVE-2024-11395 が FIX:ただちにアップデートを!”Chrome 131 Rolls Out with Security Fixes and Performance Enhancements
2024/11/13 SecurityOnline — Google は Chrome 131 のアップデートを発表し、複数の脆弱性に対するパッチを適用したが、その中には深刻度 High に分類されるものも含まれる。Windows/Mac 向けバージョン 131.0.6778.69/.70 と、Linux 向けバージョン 131.0.6778.69 のアップデート版が、数日から数週の間にリリースされる予定だという。
Continue reading “Chrome 131 の複数の深刻な脆弱性が FIX:ただちにアップデートを!”JavaScript Drive-By Attacks: New Exploits without 0-Day in Google Chrome
2024/11/11 SecurityOnline — Chrome のゼロデイ脆弱性を悪用を必要とせずに、ユーザーを攻撃する新たな手法が、Imperva Threat Research のセキュリティ研究者である Ron Masas により発見された。この手法は、ユーザーが許可した場合に、Web サイトがローカル・ファイルの読み書きを可能にする、File System Access API を悪用するものだ。この API は Windows/macOS のセキュリティ機構をバイパスするため、不正なコード実行の防止において OS の Gatekeeper 機能を用いる macOS ユーザーにとって、深刻な懸念事項となると Ron Masas は指摘している。
Continue reading “JavaScript Drive-By Attacks:Chrome の脆弱性に依存しない新種の PoC エクスプロイト”Google Chrome Patches Two High-Severity Vulnerabilities: Update Now!
2024/11/05 securityonline — Google がリリースした Chrome のアップデートは、脆弱性 CVE-2024-10826/CVE-2024-10827 を修正するものであり、それらは攻撃者に悪用される可能性があるという。ユーザーに対して強く推奨されるのは、Windows/Mac バージョンの 130.0.6723.116/117、および、Linux バージョンの 130.0.6723.116 へと、ただちにアップデートすることである。
Continue reading “Google Chrome の緊急アップデート:脆弱性 CVE-2024-10826/10827 を FIX”Warning: LastPass Alerts Users to Phishing Scam Using Fake Support Reviews on Chrome Web Store
2024/11/05 SecurityOnline — パスワード管理プラットフォーム LastPass が発した警告は、Chrome Web Store アプリ・ページでの偽のレビューを通じて、ユーザー・ベースを狙うソーシャル・エンジニアリング・キャンペーンに関するものである。この新たな攻撃は、脅威アクターが偽のレビューを送信してユーザーを欺き、不正なサポート番号へと電話をかけさせ、機密情報を危険にさらす可能性があるものだ。
Continue reading “LastPass ユーザーを狙うソーシャル・エンジニアリング:Chrome Web Store のフェイク・レビューに要注意”New Chrome Security Patch Targets Critical CVE-2024-10487 & 10488 Flaws – Update Immediately
2024/10/29 SecurityOnline — Google がリリースした Chrome の緊急アップデートは、ユーザー・システムの制御が攻撃者に奪われる可能性のある、2つの深刻なセキュリティ脆弱性に対処するものである。これらの脆弱性 CVE-2024-10487/CVE-2024-10488 は、Windows/Mac/Linux の各プラットフォーム上の、Chrome に影響を与えるものだ。
Continue reading “Google Chrome の緊急アップデート:脆弱性 CVE-2024-10487/10488 を FIX”Chrome’s App-Bound Encryption Cracked: Open-Source Tool Bypasses Security Measure
2024/10/27 SecurityOnline — Chrome の App-Bound Encryption で保護されたキーの復号を、新しくリリースされたオープンソース・ツールが成功させたことで、このセキュリティ機能の長期的な有効性について懸念が高まっている。Google Chrome のバージョン 127 で導入された App-Bound Encryption (ABE) は、復号機能を特定のアプリケーションにリンクすることで、ユーザーのセキュリティを強化することを目的としている。それにより、Cookie/パスワード/支払い情報などの機密データへの、悪意のプログラムによるアクセスを防止している。
Continue reading “Chrome の App-Bound Encryption がクラックされた:OSS のツールが GitHub で提供”Chrome Patches Multi Vulnerabilities in Latest Stable Release
2024/10/23 SecurityOnline — Google は Chrome 130 のアップデートを発表し、3件の脆弱性に対するパッチを適用した。Windows と Mac 向けバージョン 130.0.6723.69/70 と、Linux 向けバージョン 130.0.6723.69 のアップデート版が、数日から数週の間にリリースされる予定だという。
Continue reading “Chrome 130 の3件の深刻な脆弱性が FIX:ただちにアップデートを!”ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS
2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome/Google Meet/Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。
Continue reading “Google Meet アラートを偽装:ClickFix 攻撃によるマルウェア配信が蔓延”Chrome Releases Stable Channel Update Addressing High Security Vulnerabilities
2024/10/03 SecurityOnline — Chrome 129 の Stable Channel アップデートが行われ、Windows/Mac 用バージョン 129.0.6668.89/.90 と、Linux 用バージョン 129.0.6668.89 が提供されている。このアップデートは、今後の数日から数週間をかけて展開される予定であり、セキュリティにおける重要な強化と修正が行われる。
Continue reading “Chrome 129 の4件の深刻な脆弱性が FIX:ただちにアップデートを!”Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%
2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。
Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”Infostealers Overcome Chrome’s App-Bound Encryption, Threatening User Data Security
2024/09/24 SecurityOnline — 悪名高いインフォ・スティーラーの開発者が、Chrome バージョン 127 で導入された App-Bound 暗号化機能の回避に成功したと発表し、サイバー・セキュリティにおける懸念が示されている。つまり、これらの悪意のあるツールは、以前は暗号化により保護されていた認証 Cookie を収集できるようになり、ユーザー・データのプライバシーに対する新たな脅威を生じている。
Continue reading “Chrome の App-Bound 暗号化を回避:わずか2ヶ月で達成したインフォ・スティーラー群とは?”Chrome Users Can Now Sync Passkeys Across Devices with New Google PIN Feature
2024/09/20 TheHackerNews — 9月19日 (木) に Google が発表したのは、Windows/macOS/Linux/ChromeOS/Android デバイス間で、Chrome ユーザーが Passkeys を同期するための Password Manager PIN のリリースである。Chrome の MP である Chirag Desai は、「この PIN により、さらにセキュリティは強化され、Passkeys は End-toEnd で暗号化され、誰もアクセスできないようになる。もちろん、Google もアクセスできない。 この PIN のデフォルトは6桁のコードだが、”PIN Option” を選択すれば、より長い英数字の PIN を作成できる」と述べている。
Continue reading “Passkeys のための Google PIN コード:PC と Android を連携させる保護機能が進化”PoC Exploit Released for CVE-2024-7965 Zero-Day Chrome Vulnerability
2024/09/18 SecurityOnline — 先日に発見された Chrome V8 JavaScript エンジンのゼロデイ脆弱性 CVE-2024-7965 に対する、技術的な詳細と PoC エクスプロイトが公開された。BI.ZONE の専門家が分析したところ、この重大な欠陥は、特に Android スマートフォンと macOS ラップトップにとって、深刻な脅威になり得るという。
Continue reading “Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965:PoC エクスプロイトが提供”Chrome 129 Patches High-Severity Vulnerability in V8 Engine
2024/09/18 SecurityWeek — Google は 9月17日に Chrome 129 のアップデートを発表し、外部から報告された6件を含む、9件の脆弱性に対するパッチを適用した。外部から報告された脆弱性の中で最も深刻なものは、深刻度 High に分類されている、V8 JavaScript エンジンにおけるタイプ・コンフュージョン脆弱性 CVE-2024-8904 だ。
Continue reading “Google Chrome 129 の緊急アップデート:CVE-2024-8904 など9つの脆弱性を FIX”New Chrome Features Protect Users Against Threats, Provide More Control Over Personal Data
2024/09/12 SecurityWeek — Google が発表したは Chrome の新しい機能セットは、インターネット閲覧中のユーザーの保護を強化し、データに対する制御の強化を目的とするものだ。今日の Google によると、この新たな機能セットにより、バックグラウンドで自動的に実行される、プロアクティブな保護機能である Safety Check がアップグレードされている。さらに、ユーザーがアクセスしなくなった Web サイトの権限の取り消しや、不要と思われる通知にフラグ付けする通知などもサポートされるという。
Continue reading “Chrome の Safety Check がアップグレード:より安全な Web サイト閲覧のために”Google Pushes Rust in Legacy Firmware to Tackle Memory Safety Flaws
2024/09/09 SecurityWeek — Google が推進しているのは、メモリ関連のセキュリティ対策の一環としての、既存の低レベル・ファームウェア・コードベースへの Rust の導入である。Google のソフトウェア・エンジニアである Ivan Lozano と Dominik Maier の最新ドキュメントによると、C や C++ で書かれたレガシー・ファームウェアのコードベースは、OS 以下の繊細なレイヤーでメモリ安全性を保証するために、“drop-in Rust replacements” を利用できるという。
Continue reading “Google が推進する Rust 化:レガシー・ファームウェアをメモリ・セーフに!”Chrome 128 Updates Patch High-Severity Vulnerabilities
2024/09/03 SecurityWeek — Google は Chrome 128 のアップデートを 8月28日と 9月2日に発表し、外部から報告された6つの脆弱性に対するパッチを適用した。8月28日に公表されたChrome の脆弱性は、Windows/macOS のバージョン 128.0.6613.113/.114 と、Linux 用のバージョン 128.0.6613.113 で修正されている。また、9月2日の脆弱性に関しては、Windows/macOS のバージョン 128.0.6613.119/.120 と 、Linux のバージョン 128.0.6613.119 で修正されている。
Continue reading “Google Chrome 128 の緊急アップデート:CVE-2024-7969 など6つの脆弱性を FIX”CVE-2024-5274: Chrome Zero-Day Exploited by APT29, PoC Exploit Published
2024/08/30 SecurityOnline — Google Chrome のゼロデイ脆弱性 CVE-2024-5274 (CVSS 8.8) の技術的な詳細と PoC エクスプロイト・コードが公開され、世界中へとリスクが拡大する可能性が出てきた。この脆弱性は、Chrome の V8 JavaScript エンジンにおけるタイプ・コンフュージョンの欠陥だと説明されている。この脆弱性の悪用に成功した攻撃者は、悪意のコード実行を達成し、さまざまなサイバー攻撃にいたる可能性が生じる。
Continue reading “Chrome の脆弱性 CVE-2024-5274 の PoC が公開:すでに悪用が確認されている”U.S. CISA adds Google Chromium V8 bug to its Known Exploited Vulnerabilities catalog
2024/08/28 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Google Chromium V8 における不適切な実装の脆弱性 CVE-2024-7965 (CVSS:8.8) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。その一方で Google は、活発に悪用されている Chrome のゼロデイ脆弱性 CVE-2024-7965 などに対処するセキュリティ・アップデートを、8月21日にリリースしている。
Continue reading “CISA KEV 警告 24/08/28:Google Chrome の脆弱性 CVE-2024-7965 を登録”Google tags a tenth Chrome zero-day as exploited this year
2024/08/26 BleepingComputer — Google は、10番目のゼロデイ脆弱性 CVE-2024-7965 に対して、パッチを適用したことを明らかにした。この脆弱性は、2024年のハッキング・コンテストにおいて、セキュリティ研究者たちにより悪用の可能性が証明されている。脆弱性 CVE-2024-7965 は、Google Chrome の V8 JavaScript エンジンの不適切な実装として説明されており、リモートの攻撃者が細工された HTML ページを介して、ヒープ破壊を達成する可能性があるという。セキュリティ研究者 TheDog により報告された、この脆弱性だが、すでにパッチが適用されている。
Qilin ransomware steals credentials stored in Google Chrome
2024/08/23 SecurityAffairs — Qilin ランサムウェアによる攻撃を、Sophos の研究者たちが調査した。この攻撃では、侵害した少数のエンドポイントの Google Chrome ブラウザから、ランサムウェアのオペレーターが認証情報を盗み出している。認証情報の収集活動については、通常のランサムウェア感染とは無関係であると、専門家たちは指摘している。
Continue reading “Qilin ランサムウェアの不可思議な行動:攻撃前に Google Chrome の認証情報を盗み出す”Google addressed the ninth actively exploited Chrome zero-day this year
2024/08/22 SecurityAffairs — Google は、Chrome 128 の緊急アップデートをリリースし、積極的に悪用されているゼロデイ脆弱性 CVE-2024-7971 に対処した。この脆弱性は、Chrome の V8 Javascript エンジンに存在する、タイプ・コンフュージョンの欠陥だと分類されている。
Continue reading “Google Chrome 128 の緊急アップデート:悪用されるゼロデイ CVE-2024-7971 を FIX”Save uBlock Origin: How to Bypass Google’s Chrome Update and Extend Support
2024/08/16 SecurityOnline — Google Chrome エクステンション・ページにおいて、廃止が間近に迫った Manifest v2 ベースのエクステンションを自動的に検出し、ユーザーに警告する機能がサポートされた。現時点において、それらの古いエクステンションは完全には無効化されていないが、Google の方針は、それらを近々に無効化し、起動できないようにするというものだ。1つの事例として、人気の広告ブロック拡張機能である uBlock Origin も、Manifest v2 に基づいて開発されている。 広告ブロック機能に v3 が課す制限のため、その開発チームは v3 に基づき、uBlock Origin Lite と呼ばれる新しいバージョンを作成した。
Continue reading “Google Chrome の Manifest v2 ベースのエクステンション:どうすれば延命できるのか?”Malware force-installs Chrome extensions on 300,000 browsers, patches DLLs
2024/08/09 BleepingComputer — 現時点において進行中の広範なマルウェア・キャンペーンにより、30万以上の Web ブラウザに悪意の Chrome/Edge エクステンションが強制インストールされ、ブラウザの実行ファイルが変更され、ホームページがハイジャックされ、閲覧履歴が盗まれるという被害が発生している。問題のインストーラーとエクステンションは、通常ウイルス対策ツールでは検出されないものであり、感染したデバイス上でのデータ窃取やりコマンド実行を試行するよう設計されているという。このキャンペーンを発見した ReasonLabs の研究者たちが警告するのは、初期感染を達成するために、その背後にいる脅威アクターが多様な不正広告テーマを採用している点である。
Continue reading “Chrome/Edge を狙うキャンペーン:エクステンションの弱点を突いて 30万台の DLL を侵害”0.0.0.0 Day: 18-Year-Old Browser Vulnerability Impacts MacOS and Linux Devices
2024/08/08 TheHackerNews — 悪意の Web サイトが全ての主要な Web ブラウザに影響を与える、新しい脆弱性 “0.0.0.0 Day” が、サイバーセキュリティ研究者たちにより発見された。この脆弱性には、ローカル・ネットワークへの侵入に悪用さえる可能性のあるという。Oligo Security の研究者である Avi Lumelsky は、この脆弱性について、「ブラウザがネットワーク・リクエストを処理する方法における、根本的な欠陥を露呈している。この脆弱性の悪用に成功した攻撃者は、ローカル・デバイス上で実行されている、機密性の高いサービスにアクセスする可能性を得る」と述べている。
Continue reading “Web ブラウザの 脆弱性 0.0.0.0 Day:18年前から MacOS/Linux に影響を与えていた?”Google Chrome Update Fixes Critical Code Execution Vulnerability (CVE-2024-7532)
2024/08/06 SecurityOnline — Google は Chrome 127 stable channel 版をリリースし、6件の脆弱性を修正した。このアップデート・バージョンは、Windows/Mac 用の 127.0.6533.99/.100 および、Linux 用の 127.0.6533.99 であり、今後の数日から数週間かけて順次配布される。
Continue reading “Chrome 127 がリリース:深刻な脆弱性 CVE-2024-7532 などが FIX”Google Chrome Strengthens Cookie Security on Windows with App-Bound Encryption
2024/07/31 SecurityOnline — Google Chrome の Windows ユーザー向けに導入された、App-Bound Encryption という新しいセキュリティ機能は、クッキーの盗難や情報窃取マルウェアからユーザーを保護を強化するためのものだ。この機能強化の目的は、クッキー/パスワード/支払い情報などの機密データを、不正アクセスから保護することにある。
Continue reading “Chrome の新機能 App-Bound Encryption:Windows の DPAPI 活用でクッキー窃取を排除”W3C Slams Google’s Cookie Reversal: Privacy at Risk?
2024/07/30 SecurityOnline — 先日に Google が発表したのは、Chrome におけるサードパーティ・クッキーの段階的な廃止は、もう行わないというものだ。この決定が意味するのは、従来の方法で広告ネットワークが、Web サイトを横断してユーザーを追跡し、センシティブなユーザー情報の収集を行い、ユーザーのプライバシー保護にとって有害な状況を継続するこということだ。それに対して、業界標準化団体である W3C (World Wide Web Consortium) は、Google の決定を強く非難する公開書簡を発表した。Google の動きは、サードパーティ・クッキーを排除しようとする、業界全体の努力を損なうものだと、W3C は考えている。
Continue reading “W3C が Google のクッキー廃止の停滞を非難:プライバシーが侵害される?”Google Chrome adds app-bound encryption to block infostealer malware
2024/07/30 BleepingComputer — Google Chrome は、情報窃取型のマルウェア攻撃に対するセキュリティ向上のため、Windows システム上でより優れたクッキー保護のための新機能 App-Bound Encryption を追加した。Chrome のソフトウェア・エンジニアである Will Harris が、7月30日に発表したブログで説明しているように、現時点における Chrome は、クッキーやパスワードなどの機密データを保護するために、各 OS が提供する最も堅牢な技術を使用している。具体的には、以下のとおりである。
Urgent Chrome Update: Google Patches Critical Security Flaw (CVE-2024-6990)
2024/07/30 SecurityOnline — Google Chrome の3つの脆弱性 CVE-2024-6990/CVE-2024-7255/CVE-2024-7256 を修正するための、緊急アップデートが公開された。この脆弱性を悪用する脅威アクターにより、ブラウザの機能の弱点が攻撃されると、ユーザーのセキュリティが損なわれる可能性が生じる。
Continue reading “Google Chrome の脆弱性 CVE-2024-6990 などが FIX:直ちにアップデートを!”A Bug In Chrome Password Manager Caused User Credentials To Disappear
2024/07/26 SecurityAffairs — Google Chrome の Password Manager で、ユーザー認証情報が一時的に消失するというバグが、同社により対処された。7月24日 (水) に発生した、Google Chrome の 18時間の障害により、パスワードの保存と自動入力を Password Manager に依存するユーザーに影響が及んだ。Chrome ユーザーの多くのが、ユーザー名のみが自動的に入力される状況に気づき、Password Manager のパスワードが利用できなくなったと報告した。その一方で Google は、ユーザー・データが失われたわけではないと述べていた。
Continue reading “Chrome から Password Manager 機能が消えた:7月24日に発生した 18時間の障害とは?”Okta Patches Cross-Site Scripting Flaw (CVE-2024-0981) in Browser Plugin
2024/07/22 SecurityOnline — 先日に Okta が公開したのは、同社のブラウザ・プラグインに存在する、深刻度の高い XSS の脆弱性 CVE-2024-0981 に対するパッチである。この脆弱性は、Chrome/Edge/Firefox/Safari 用の、Okta Browser Plugin バージョン 6.5.0 ~ 6.31.0 に影響を及ぼし、攻撃者に対して機密情報の取得を許す可能性が生じる。
Continue reading “Okta Browser Plugin の脆弱性 CVE-2024-0981 が FIX:XSS の恐れ”Google rolls back decision to kill third-party cookies in Chrome
2024/07/22 BleepingComputer — Google が発表したのは、Chrome のサードパーティ・クッキーを廃止する計画を撤回し、その代わりとして、これらのクッキーの使用方法をユーザーが制限できる、新たなブラウザ・エクスペリエンスを導入するという方針である。サードパーティー・クッキーとは、訪問中の Web サイト以外からユーザーの Web ブラウザに保存されるデータを指し、通常は、トラッキング・スクリプトや広告によりドロップされるものだ。これらのクッキーによって、同じサードパーティ・ドメインからのコードを利用する、他のサイトからのユーザー追跡も可能になるため、広告主はユーザーの閲覧習慣や興味を知ることができる。
Continue reading “Google の発表:Chrome サードパーティ・クッキー排除の撤回と言訳とは?”Google to Block Entrust Certificates in Chrome Starting November 2024
2024/06/29 TheHackerNews — Google の発表は、Entrust の証明書を使用している Web サイトを、2024年11月1日頃から Chrome でブロックするという方針である。Google Chrome セキュリティ・チームは、「これまでの数年にわたり、一般に公開されたインシデント・レポートにより、Entrust における懸念すべき行動パターンが浮き彫りになっている。具体的に言うと、期待を下回る能力/信頼性/不誠実さにより、公に信頼されるべき認証局の所有者としての、信頼が損なわれている」と述べている。
Continue reading “Entrust 認証局は 11月1日より Chrome がブロック:信頼に値しないという Google の判断”Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data
2024/06/28 TheHackerNews — 北朝鮮の脅威アクター Kimsuky が、機密情報を盗むように設計された、新たな悪意の Google Chrome エクステンションを使用して、情報収集活動を展開している。この活動を 2024年3月初旬に観測した Zscaler ThreatLabz は、このエクステンションのコードネームを TRANSLATEXT とし、電子メールアドレス/ユーザー名/パスワード/クッキー/ブラウザのスクリーン・ショットなどを、収集する機能を持つと指摘している。この標的型キャンペーンは、韓国の学術界を狙うものであり、特に北朝鮮の政治問題に関連するアカウントを標的にしたものだと見られている。
Continue reading “悪意の Chrome エクステンション TRANSLATEXT:機密データを窃取する北朝鮮 Kimsuky の手口とは?”Google Chrome 126 Update Addresses Multiple High-Severity Flaws
2024/06/19 SecurityAffairs — Google は Chrome 126 セキュリティ・アップデートをリリースし、SSD Secure Disclosure の TyphoonPWN 2024で実証された、CVE-2024-6100 などの6件の脆弱性に対処した。韓国のソウルで開催される TyphoonPWN は、攻撃型セキュリティ・カンファレンス TyphoonCon の中のライブ・ハッキング大会である。
Continue reading “Google Chrome 126 がリリース:CVE-2024-6100 などの深刻な脆弱性に対応”Fake Google Chrome errors trick you into running malicious PowerShell scripts
2024/06/17 BleepingComputer — Google Chrome/Microsoft Word/OneDrive のエラーを装い、ユーザーを騙してマルウェアをインストールさせるために、PowerShell の悪質な “修正プログラム” を実行させるという、新たなマルウェア配布キャンペーンが発生している。この新しいキャンペーンは、ClearFake や ClickFix と呼ばれる新しい攻撃クラスターを操る、複数の脅威アクターにより使用されていることが確認されている。また、大量のメールを送信してマルウェアやランサムウェアの感染を引き起こす、スパム配信者 TA571 にも使用されているようだ。
Continue reading “Google Chrome の偽エラー・トリックに要注意:巧みな誘導で悪意の PowerShell を実行”Google’s Privacy Sandbox Accused of User Tracking by Austrian Non-Profit
2024/06/14 TheHackerNews — Google Chrome の Privacy Sandbox において、サードパーティのトラッキング・クッキーを非推奨にする計画だが、新たな問題にぶつかっている。この機能は、依然としてユーザー追跡のために使用できると、オーストリアのプライバシー非営利団体 noyb (none of your business) が指摘しているのだ。
Continue reading “Google の Privacy Sandbox:欧州の非営利団体 noyb から痛烈に批判される”Brave says May 2024 was its biggest growth month ever
2024/06/09 BleepingComputer — プライバシー重視の Web ブラウザである Brave は、2024年5月に過去最大の伸びを記録し、その月間ユーザー数は 7.3%増の 7,895万人以上となった。Brave は、特に中南米で急成長を遂げ、いくつかの国で Google Play ストアのトップ・アプリのひとつとなった。
Continue reading “Brave Browser のユーザーが急増:2024年5月に過去最大の伸びを記録”LastPass says 12-hour outage caused by bad Chrome extension update
2024/06/07 BleepingComputer — LastPass によると、約12時間にわたって発生した障害の原因は、Google Chrome エクステンションのアップデートだったという。6月6日の午後1時 (米国東部時間) ごろから、突然にして LastPass のユーザーたちは、パスワード保管庫にアクセスと、アカウントへのログインが不能になった。
Continue reading “LastPass に発生した障害:Chrome エクステンションのアップデートによる 12時間の停止”Google Chrome change that weakens ad blockers begins June 3rd
2024/06/01 BleepingComputer — Google は、2024年6月の初旬から Chrome の Manifest V2 エクステンションを段階的に廃止し、広告ブロッカー機能を弱める計画を進めている。同社によると、今回の決定は、コミュニティの進捗状況とフィードバックに基づくものであり、これ以上の遅延は不要であると判断されたとのことだ。
Continue reading “Google の Manifest V3 移行:広告ブロッカー V2 対応は無効化される”Google Discovers Fourth Zero-Day in Less Than a Month
2024/05/25 DarkReading — Google は、Chrome に存在する深刻度の高いセキュリティ上の脆弱性 CVE-2024-5274 に関するアップデートを公開した。CVE-2024-5274 は、V8 JavaScript/WebAssembly エンジンにおけるタイプ・コンフュージョンの脆弱性であり、その脅威度は High に分類されている。
Continue reading “Google Chrome の脆弱性 CVE-2024-5274 が FIX:脅威度は High”PoC Exploit Published for Chrome 0-day CVE-2024-4947 Vulnerability
2024/05/19 SecurityOnline — 先日にパッチが適用された Google Chrome のゼロデイ脆弱性 CVE-2024-4947 に対して、PoC エクスプロイト・コードの存在が表面化した。したがって、ユーザーにとって重要なことは、このブラウザを最新バージョンにアップデートすることである。先週に Google は、Chrome の緊急セキュリティ・アップデートを発表し、野放し状態で活発に悪用されている深刻なゼロデイ脆弱性に対してパッチを適用した。この深刻度の高い脆弱性は、Chrome の V8 JavaScript エンジンのタイプ・コンフュージョンに起因するものであり、Kaspersky の研究者 Vasily Berdnikov と Boris Larin により発見された。
Continue reading “Chrome の深刻な脆弱性 CVE-2024-4947:PoC エクスプロイトが提供された”CISA warns of hackers exploiting Chrome, EoL D-Link bugs
2024/05/19 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、3件のセキュリティ脆弱性を既知の脆弱性 (KEV:Known Exploited Vulnerabilities) カタログに追加した。脆弱性が KEV カタログに追加される背景としては、それらの脆弱性を悪用する脅威アクターたちが、連邦政府機関や企業に対して攻撃を仕掛けているという状況にあり、セキュリティ更新や緩和措置の適用が急がれるべきという警告となっている。なお、米国の連邦政府機関は 6月6日までに、これらの脆弱性の影響を受けるデバイスの交換や、攻撃リスクを低減/排除する防御策を導入する必要がある。
Continue reading “CISA KEV 警告 24/05/16:Chrome および D-Link の脆弱性が積極的に悪用されている”Microsoft Has Yet to Patch 7 Pwn2Own Zero-Days
2024/05/17 DarkReading — Pwn2Own 2024 Vancouver で明らかにされた、7種類の特権昇格の Windows 脆弱性だが、2ヶ月が経過した現在も、Microsoft による対処が行われていない。5月の Patch Tuesday では、活発に悪用されている CVE-2024-30051/CVE-2024-30040 などを含む、全体で 60件ほどの脆弱性が修正されている。しかし、Apple や Google などとは異なり、この3月にホワイト・ハッカーたちが証明した多数のバグに、依然として Microsoft はパッチを適用していない。
Continue reading “Pwn2Own で発見されたゼロデイ脆弱性7件:なぜ Microsoft は放置する?”Google fixes third actively exploited Chrome zero-day in a week
2024/05/15 BleepingComputer — Google Chrome のセキュリティ・アップデートが緊急リリースされ、この1週間で攻撃で悪用された3つ目のゼロデイ脆弱性への対処が完了した。5月15日 (水) 公開されたセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2024-4947 が悪用されていることを認識している」と述べている。同社は、Mac/Windows 用の 125.0.6422.60/.61 と、Linux 用の 125.0.6422.60のリリースにより、このゼロデイ欠陥を修正した。新バージョンは、今後の数週間をかけて、Stable Desktop チャンネルに登録されている全ユーザーに配布される。
Continue reading “Google Chrome の深刻な脆弱性 CVE-2024-4947 が FIX:悪用を確認”
IoT OT Security News 
You must be logged in to post a comment.