Pratite nas preko RSS-aZbog baga u Chromeu milijarde korisnika u riziku od krađe podataka
Vesti, 12.08.2020, 10:00 AM
Ako niste ažurirali Chrome, Operu ili Edge na najnoviju dostupnu verziju, bilo bi dobro da to uradite što pre.
Istraživači firme PerimeterX u ponedeljak su otkrili detalje o do sada nepoznatom bagu u veb pregledačima za Windows, Mac i Android baziranim na Chromiumu, koji može omogućiti napadačima da potpuno zaobiđu pravila o bezbednosti sadržaja (CSP), ukradu podatke posetilaca sajta i pokrenu zlonamerni kod.
Bag (CVE-2020-6519) utiče na milijarde korisnika, na Chrome od verzije 73 (objavljena u martu prošle godine) do verzije 83 (verzijom 84 objavljena u julu bag je ispravljen).
CSP je veb standard koji je namenjen sprečavanju određenih vrsta napada, uključujući XSS (cross-site scripting) napade i napade ubrizgavanja podataka. CSP omogućava veb administratorima da odrede domene koje pregledač treba da smatra validnim izvorima izvršnih skripti. Pregledač kompatibilan sa CSP-om će izvršavati samo skripte učitane u fajlovima primljenim sa tih domena.
„CSP je primarna metoda koju vlasnici veb sajtova koriste za primenu pravila o bezbednosti podataka kako bi sprečili izvršavanje zlonamernih kodova na njihovim veb sajtovima, pa kada njihova primena može da se zaobiđe, lični podaci korisnika su u opasnosti“, objasnili su istraživači.
Prema njihovim rečima, mnogi veb sajtovi koriste CSP, uključujući i neke od najpopularnijih veb sajtova kao što su ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo i Zoom. Sa druge strane, na neke ovo nema uticaja a među njima su GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahooova Login stranica i Yandex.
Zanimljivo je da je na isti bag pre više od godinu dana upozorio istraživač kineske kompanije Tencent, i to samo mesec dana nakon objavljivanja Chromea 73 u martu 2019. godine, ali to pitanje nije rešeno sve dok PerimeterX nije ukazao na ovaj problem marta ove godine.
Nakon njihovog upozorenja, Chromeov tim je izdao zakrpu za ranjivost u ažuriranju Chrome 84 (verzija 84.0.4147.89) koje je objavljeno 14. jula.
Izdvojeno
Lažni ChatGPT Ad Blocker krao razgovore korisnika
Lažna Chrome ekstenzija pod nazivom ChatGPT Ad Blocker koristila se za krađu razgovora korisnika, predstavljajući se kao alat za uklanjanje oglasa ... Dalje
Microsoft upozorava: WhatsApp poruke šire malver na Windows računarima
Microsoft Defender Security Research Team upozorava na novu kampanju socijalnog inženjeringa koja od kraja februara 2026. cilja korisnike putem Whats... Dalje
Google objavio hitnu zakrpu za zero-day ranjivost koja se aktivno koristi u napadima
Google je objavio hitno bezbednosno ažuriranje za Chrome kako bi zakrpio kritičnu ranjivost „nultog dana“ koja se već aktivno koristi u... Dalje
Propust u ChatGPT-u omogućavao curenje razgovora korisnika
Istraživači iz Check Point Research otkrili su ranjivost u ChatGPT-ufchat koja je mogla omogućiti napadačima da izvuku osetljive podatke iz razgov... Dalje
Evropska komisija potvrdila sajber napad: hakeri tvrde da su ukrali 350 GB podataka
Hakerska grupa ShinyHunters objavila je da je kompromitovala sisteme Evropske komisije i došla do više od 350 GB podataka. Tvrdnja se prvo pojavila ... Dalje
Pratite nas
Nagrade
Prijatelji
