安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。 该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。 Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。 在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。 博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。 src: 果核剥壳

Google将使Chrome浏览器中的搜索建议更有帮助

Google将使Chrome浏览器中的搜索建议更有帮助 搜索建议是指在Google输入查询之前出现的下拉建议完成列表。该功能可生成预测结果，帮助用户节省时间并加快搜索速度。通过这些新的更新，Google正在扩大搜索建议的可用性，并利用它们来提高灵感。当用户在桌面上登录 Chrome 浏览器并打开一个新标签页时，现在他们将开始在搜索框中看到与他们以前的搜索相关的建议，这些建议是基于其他人正在搜索的内容。例如，如果你最近搜索的是"Japchae"（韩式杂菜），那么你可能会看到其他人正在搜索的其他热门韩国菜的搜索建议，如 tteok-bokki（辣炒年糕）、bulgogi（烤牛肉片） 和 bibimbap（石锅拌饭）。Chrome 浏览器以前只在地址栏中显示与你的产品查询完全匹配的搜索建议图片。如果你输入"Isanti 餐桌"，地址栏就会显示一张餐桌的图片。但是，Google指出，有时你并不真正知道自己在寻找什么，这就是为什么它会开始根据更简单的搜索来显示更广泛的购物类别和产品的有用图片。例如，如果你开始输入"波西米亚桌子"，Google就会显示波西米亚桌子、波西米亚桌布、波西米亚桌花和波西米亚台灯的图片。这样，即使你不知道你要搜索的具体产品，也能找到你感兴趣的相关产品，建议搜索的更新将在 Android 和 iOS 上推出。Google还宣布，由于改进了设备上的功能，Android 和 iOS 上的 Chrome 浏览器用户现在即使在网络连接不好的情况下也能看到搜索建议。该更新意味着用户在隐身模式下浏览时也将获得更多有用的建议。 ... PC版： 手机版：

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】 6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。 公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome 2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。