Pratite nas preko RSS-aZbog baga u Chromeu milijarde korisnika u riziku od krađe podataka
Vesti, 12.08.2020, 10:00 AM
Ako niste ažurirali Chrome, Operu ili Edge na najnoviju dostupnu verziju, bilo bi dobro da to uradite što pre.
Istraživači firme PerimeterX u ponedeljak su otkrili detalje o do sada nepoznatom bagu u veb pregledačima za Windows, Mac i Android baziranim na Chromiumu, koji može omogućiti napadačima da potpuno zaobiđu pravila o bezbednosti sadržaja (CSP), ukradu podatke posetilaca sajta i pokrenu zlonamerni kod.
Bag (CVE-2020-6519) utiče na milijarde korisnika, na Chrome od verzije 73 (objavljena u martu prošle godine) do verzije 83 (verzijom 84 objavljena u julu bag je ispravljen).
CSP je veb standard koji je namenjen sprečavanju određenih vrsta napada, uključujući XSS (cross-site scripting) napade i napade ubrizgavanja podataka. CSP omogućava veb administratorima da odrede domene koje pregledač treba da smatra validnim izvorima izvršnih skripti. Pregledač kompatibilan sa CSP-om će izvršavati samo skripte učitane u fajlovima primljenim sa tih domena.
„CSP je primarna metoda koju vlasnici veb sajtova koriste za primenu pravila o bezbednosti podataka kako bi sprečili izvršavanje zlonamernih kodova na njihovim veb sajtovima, pa kada njihova primena može da se zaobiđe, lični podaci korisnika su u opasnosti“, objasnili su istraživači.
Prema njihovim rečima, mnogi veb sajtovi koriste CSP, uključujući i neke od najpopularnijih veb sajtova kao što su ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo i Zoom. Sa druge strane, na neke ovo nema uticaja a među njima su GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahooova Login stranica i Yandex.
Zanimljivo je da je na isti bag pre više od godinu dana upozorio istraživač kineske kompanije Tencent, i to samo mesec dana nakon objavljivanja Chromea 73 u martu 2019. godine, ali to pitanje nije rešeno sve dok PerimeterX nije ukazao na ovaj problem marta ove godine.
Nakon njihovog upozorenja, Chromeov tim je izdao zakrpu za ranjivost u ažuriranju Chrome 84 (verzija 84.0.4147.89) koje je objavljeno 14. jula.
Izdvojeno
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Pratite nas
Nagrade
Prijatelji
