Перейти к содержанию

Обновите Google Chrome (и другие браузеры на Chromium) | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Астрологи объявили неделю ретроградного Меркурия браузерных уязвимостей: количество опасных дыр в браузерах увеличилось вдвое! Только что мы написали о том, что надо оперативно установить обновления iOS и macOS из-за серьезного бага в Apple WebKit (основа браузера Safari и любых браузеров в iOS). И вот из-за похожей, так сказать, по своим эксплуатационным характеристикам проблемы пора срочно обновлять и другие браузеры. На этот раз речь идет о Google Chrome, а также о родственных ему браузерах — и не только браузерах, но не будем забегать вперед.

Уязвимости в движке V8

Уязвимость CVE-2023-2033 была найдена в движке V8. Этот движок используется для обработки JavaScript. Нашел ее тот же самый исследователь из команды Google Threat Analysis Group (TAG), который участвовал в обнаружении уязвимостей в iOS и macOS, описанных в нашем предыдущем посте.

В соответствии со своей обычной политикой, Google не разглашает подробности об уязвимости, пока большинство пользователей не обновит свои браузеры, так что подробной информации о дыре пока нет. Однако известно, что эксплойт для этой уязвимости уже существует.

Чтобы ее проэксплуатировать, атакующим необходимо создать вредоносную веб-страницу и заманить на нее жертву. После этого они получат возможность выполнения произвольного кода на атакуемом компьютере. В общем, как и найденная ранее уязвимость в Safari WebKit, данная дыра позволяет организовывать атаки zero-click, то есть заражать устройства пользователей без каких-либо активных действий с их стороны — достаточно лишь тем или иным образом заставить жертву открыть опасный сайт.

Известно, что данная уязвимость есть как минимум в десктопных версиях всех браузеров, основанных на проекте Chromium, — то есть не только в самом Google Chrome, но еще и в Microsoft Edge, Opera, Яндекс.Браузере, Vivaldi, Brave и многих других. Также она, вероятно, затрагивает приложения, работающие на основе фреймворка Electron, — как мы уже не так давно писали, такие программы по сути представляют собой веб-страницы, открытые во встроенном в приложение браузере Chromium.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Краб
      Google Chrome
      От Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Bercolitt
      Странное поведение при заходе на mail.yandex через Google Chrome.
      От Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • kmscom
      Прошу проверить работу авторизации RUTUB при использовании браузера Google Chrome
      От kmscom
      у меня вот так показано верхнее меню в гугле

      крайний правый кружочек не кликабелен

      хотя в тоже время в Microsoft Edge

      и уведомления сразу показывает на значке колокольчика и аватар с птичкой кликабелен
       
      Я немогу понять, это проделки самого браузера (или его авторов) или у меня частная проблема.

      Сам сервис работает, но как авторизоваться в Google не понятно
      UPD в режиме ингкогнито, в Гугл работает.
      хм, будем разбираться
    • Neovolt
      C:\ProgramData\Google\Chrome\updater.exe
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
    • KL FC Bot
      Железо для SIEM-системы | Блог Касперского
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
×
×
  • Создать...