浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料

浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料 来自美国威斯康辛大学麦迪逊分校（University of Wisconsin–Madison）的3名研究人员上周发表了一篇研究报告，指出坊间主要浏览器的粗粒度权限模型（Coarse-Grained Permission Model）违反两项安全设计准则，再加上网站上的输入栏位含有安全漏洞，将足以让骇客借由浏览器扩充程式取得使用者所输入的机密资料，包括密码与信用卡资讯。 研究人员所调查的浏览器涵盖Google Chrome、Mozilla Firefox与苹果Safari，并宣称它们在处理文字输入栏位的权限时，并未遵循最低权限及完全仲裁（Complete Mediation）原则，前者指的是系统应该仅具备最低限度的必要存取权限，后者则是每次的存取都应检查权限。 研究人员分析了Chrome Web Store中的17,300款扩充程式，发现当中有12.5%具备汲取所有网页上机密资讯的必要权限，包括拥有超过1,000万名使用者的AdBlockPlus及优惠券程式Honey。此外，还有190款扩充程式可以直接存取密码栏位。

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。 该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。 Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。 在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。 博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。 src: 果核剥壳

微软和Google发布浏览器紧急安全更新 应对风险等级为4级高危漏洞

微软和Google发布浏览器紧急安全更新 应对风险等级为4级高危漏洞 如果你的浏览器提示你升级，请一定不要拒绝。 微软和Google已经发布了对其基于Chromium的浏览器中的浏览器漏洞的紧急修复，根据BSI的评估，该漏洞可以通过访问网页或点击链接就可以被利用。 Google浏览器和基于微软Chrome的Edge浏览器的几个漏洞已经被披露。攻击者可以利用这一点，目前还没有发现被外部利用来攻击的迹象，但事实上要利用它，只需调用一个恶意设计的网站或点击一个特别设计过的页面链接。这些漏洞被判定为4级风险，意味着它们影响大，容易被利用。 CnBeta 频道

微软印度官方X/Twitter账号被黑客劫持 拿来发送加密货币诈骗网站

微软印度官方X/Twitter账号被黑客劫持 拿来发送加密货币诈骗网站 X/Twitter 上的账号劫持问题已经是个非常常见的情况了，例如此前美国证券交易委员会 SEC 的官方账号就被黑客劫持，然后谎称比特币现货 ETF 已经通过，造成比特币等加密货币的价格大幅度波动。昨天夜里微软印度公司 (Microsoft India) 的官方 X 账号竟然也被劫持，微软这些集团公司账号都已经通过 X 的组织认证，带有金黄色的认证徽标。诈骗者劫持微软印度账号后用来发送加密货币诈骗网站，该网站声称游戏驿站 (GameStop，即此前散户大战华尔街空头的主角之一) 将发行名为 KITTY 的加密货币。而现阶段这个 KITTY 正在预售，用户可以通过发送以太坊来购买 KITTY 等待该加密货币上市后获得更多收入。不过虽说劫持的是微软印度账号，但诈骗者面向的主要仍然是美国人 (为什么不劫持微软美国的账号呢？因为没劫持成功呗)，同时诈骗者还操纵多个机器人转发钓鱼推文吸引更多用户进入钓鱼网站。值得注意的是诈骗者的目的根本不是用户发送以太坊来购买这个所谓的 KITTY 代币，用户使用自己的 Web3 钱包连接这个钓鱼网站后，默认情况下会被授予多种权限。一旦成功连接诈骗者就会直接清空用户钱包中的所有受支持的加密货币资产，根本不需要用户手动发送以太坊或其他代币，这样诈骗者才能尽可能获得更多收益。目前尚不清楚微软印度账号是如何被劫持的，通常情况下主要是密码泄露以及没有开启 2FA 验证，更复杂的攻击则是 SIM 换卡攻击，此前 SEC 账号被劫持就是绑定的员工手机号被通过某种手段收集然后黑客伪造了资料找运营商补了 SIM 卡，再通过短信验证直接登录了账号。除了 X/Twitter 外 YouTube 账号尤其是埃隆马斯克相关的账号也是劫持的重灾区，此前 SpaceX 就曾在直播中被劫持，视频画面被替换为 AI 合成的埃隆马斯克演讲视频，忽悠观众扫码连接钓鱼网站然后发送加密货币获得返赠，比如声称你发送 0.1 个 BTC 就可以自动返回 0.2 个 BTC 这种。这种钓鱼套路在 X 上层出不穷，后续也会出现更多这种劫持，所以各位看到这类加密货币相关的天上掉馅饼前往别上当，没这种好事的，要掉也是铁饼那砸破脑袋那种。 ... PC版： 手机版：

脚本文本选中复制脚本功能：解除网站复制限制

脚本文本选中复制 脚本功能：解除网站复制限制 脚本简介：解除网站不允许复制的限制，文本选中后点击复制按钮即可复制。PC端在油猴中添加，iOS可在拦截100或stay2中使用，安卓可在x浏览器或Alook浏览器中使用。 脚本下载：点击下载

由于Firefox 125存在下载问题 Mozilla回滚了最新的安全改进

由于Firefox 125存在下载问题 Mozilla回滚了最新的安全改进 Firefox 125 引入了一些底层改进，以更好地阻止潜在的不可信 URL：Firefox浏览器现在会更主动地阻止从被认为可能不可信的 URL 下载。不幸的是，这一更改在特定情况下下载文件时出现了问题，导致 Mozilla 暂时恢复了这一更改。开发人员承诺在今后的更新中修复问题并重新发布下载保护：还原最近在 Firefox 125 中发布的更改，这些更改更主动地阻止从潜在的不可信 URL 下载。这些更改在某些情况下会导致文件下载出现意外问题。我们计划在未来的版本中修复并重新启用这些保护措施。(错误 1892069）有关该错误的更多信息，请访问Bugzilla。在 125.0.2 版中，Mozilla 还承认了一个奇怪的问题，即当Firefox浏览器已在运行时试图打开它，浏览器会启动一个空白的页面。当尝试在Firefox浏览器已运行时启动它时，有时可能会出现一个额外的空白标签页，地址为125.0.2 没有带来任何新内容。你可以在官方网站上找到完整的发布说明。要更新现有的 Firefox 安装，请前往菜单 > 帮助 > 关于 Firefox。Windows 版Firefox浏览器可在 Mozilla 官方网站上下载。您也可以通过此链接从Microsoft Store 获取。 ... PC版： 手机版：