研究人员在铬的基础上发现了严重的缺陷Safezone浏览器
立方运输许可证TFL的非接触式支付系统
最新测试显示所有四个主要的无线运营商都很强大
政府在国家公园英国的ESN达成协议
三星Galaxy S7手机获取游戏,虚拟现实的图形收费
索赔议会机构需要更多保护MPS Communications所需的保障措施
自驾车作为特斯拉司机在崩溃中丧生的第一个致命性
身份盗贼从IRS系统获得100,000个电子锉刀
红帽的Ansible带来了网络到Devops
DDOS攻击大小从2015年起73%
超人记忆晶体可以存储数十亿年的数据
Microsoft的Power BI可视化通过新的“发布到Web”功能公开
DWP试验区块链技术用于福利支付
O2否认数据泄露
微软以260亿美元收购LinkedIn
OneNote for Mac获得了插入形状,搜索功能的新能力
英国的最高安全评委争取估计隐私威胁
Watchup证明Apple正在赢得电视节目
反对者被迫吃言语,因为谷歌的AI大师古老游戏
丹麦的网络和跳动发布区块链开发实验室
EDF能量升级网络与沃达丰
高通公司希望逐步进入服务器市场的方法将支付股息
英国安全创业公司发现网络犯罪业务的一站式商店
大数据和开源云技术有助于海湾航空针击败客户情绪
Stratasys通过3D打印机上的Photoshop实现了超过1000种颜色
Elgato的Eve Energy开启了HomeKit Home
奥巴马希望更多为网络安全和联邦CISO提供资金
Brexit:GDS BOSS敦促公务员保持冷静并继续
新加坡到Pioneer热带数据中心
LG将可互换的“朋友”模块带到旗舰G5智能手机(+视频)
使用Boomtrain制作营销电子邮件。自动地。
透露:GDS的战斗 - Whitehall普通话如何试图雕刻数字战略
参议院通过互联网进入税收永久禁令
微软推出了IOT集线器来从物理世界摄取数据
Lufthansa IT Services ARM改造以满足客户需求
MongoDB提供带有Atlas数据库作为服务的云溢出缩放
松下宣布两种重型智能手机
HPE从Oracle上删除Itanium数据库支持需求为3亿美元
从Citrix中取出:VDA与Windows 10更新不符合良好
GDS起草新技术的实践准则
Google修复了Android中的关键Wi-Fi和媒体处理漏洞
英国工业要求帮助青年避免在网络犯罪中的职业生涯
Wimbledon部署了智能手机应用程序以参与粉丝
Malwarebytes仍然在防病毒软件中修复缺陷
微软在许可交易中向小米销售1,500项移动专利
BT宽带用户受到英国范围的中断
VMware为企业提供了一个与三个新工具的Byod Boost
沃达丰推出了社区中心的移动计划
欧盟工人信任欧盟国家大多数云数据
思科的首席执行官表示,苹果公司和联邦调查局将需要妥协
您的位置:首页 >科技 > 通信技术 >

研究人员在铬的基础上发现了严重的缺陷Safezone浏览器

2021-06-17 11:44:38 [来源]:

一些防病毒供应商已经采取了开源铬浏览器,并创建了他们声称更隐私和安全的衍生品。然而,最近至少有两个人发现在铬中没有存在的严重缺陷。

最新示例是AVAST Safezone浏览器,内部称为Avastium,安装了具有AVAST的抗病毒和安全套件的付费版本。Google Project Zero Researcher Tavis Ormandy发现了一种漏洞,可能允许攻击者在任何其他本地安装的浏览器中打开攻击者控制的URL时控制亚维斯。

通过利用缺陷,攻击者可以远程阅读“文件,cookie,密码,一切,”Ormandy在12月份派遣的报告中表示,他星期三公开。“他甚至可以控制经过身份验证的会话并阅读电子邮件,与网上银行互动等。

Ormandy创建了一种基于Web的概念漏洞证明,可以列出计算机的内容C:/驱动器,但攻击者可以轻松扩展它以使任何潜在的有趣文件发送回他。

根据Google研究员的说法,Avast在侦听端口27275上侦听的本地计算机上打开Web Accessible RPC服务。因此,在任何浏览器中打开的恶意网站可以通过强制浏览器将命令发送到此服务,以使请求对http:// localhost:27275 /命令进行请求。

虽然大多数可用命令都没有特别危险,但是有一个被称为switch_to_safezone,可用于在Avastium中打开URL。不仅仅是http://或https:// offum,还有一个属于文件或内部URL方案,如文件:///或chrome://。

即,由于某种原因,Avast已删除Ormandy调用“关键安全检查”,这可以防止与命令行打开的非网络相关的URL方案。在原始铬中存在的这种保护不存在于亚铁中,使攻击者可能最终构建可以读取本地文件的有效载荷。

Ormandy在12月18日报告了缺陷之后,Avast部署了一个临时修复,打破了攻击链。该公司周三提供完整的修复,作为Avast版本2016.11.1.2253。

本周Ormandy还披露了Chromodo的一个关键漏洞,该基于铬的浏览器是由安全公司Comodo分发的基于铬的浏览器,作为其互联网安全套件的一部分。该漏洞源于ChromoDo禁用最关键的浏览器安全机制之一,同样的原始策略。

Avast和Comodo不是唯一创建基于Chromium的所谓“安全”浏览器的安全供应商,并将其与其产品一起运送。如果Ormandy继续调查它们,那么看他是否发现在这种浏览器中引入的严重缺陷的其他例子并不存在于铬中,这将是有趣的。

Joxean Koret是一名安全研究员在过去发现杀毒产品的漏洞,建议Twitter上的人们不要使用防病毒供应商提供的浏览器。“我”分析了3。一切都破碎了,“他说。

“销售杀毒管道不合适,让你叉铬,你”重新搞砸了,“Ormandy在本周早些时候在Twitter消息中说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。