Chrome 浏览器安全

google(谷歌)Chrome 浏览器的安全问题。

Chrome 开始允许用户自己监控扩展的活动

0

chrome-extension-activity-tracking-550x413

Chrome一直强调安全性,除了自身也包括扩展。如果你的扩展里使用了比较紧要的API比如WebRequest API,那么提交到Chrome Web Store的时候就需要人工审核,Chrome还针对所有扩展和应用提出了Content-Security-Policy,而且现在从第三方渠道安装扩展也越来越难了。

(更多…)

从 Chrome 23 开始,Adobe Flash Player 已经完全被安全的锁进沙盒里了

0

ishot-121114-0332291

Google今天宣布从Chrome 23版本开始,不管是Windows、Linux还是OS X,Chrome里内置的Adobe Flash Player都已经完全被置于沙盒中了,这将使得Chrome的安全级别更上一层楼。

沙盒机制可以阻止恶意软件被安装,或是通过一个打开的标签页去影响另外一个标签页。沙盒为Chrome又加入了一层保护机制,可防止通过网页传播的恶意软件、你的活动被监控或是硬盘里的隐私信息被泄露。

对OS X用户来说这个意义更加重大,OS X版的Chrome使用了新的插件架构来使得Flash运行在沙盒里,这将保证跟Chrome自己原生的沙盒一样强壮。

Via TNW

为什么 Chrome 会同时运行多个 Flash 插件?

0

2011-10-26_00001-550x502

Chrome已经集成了Flash插件,这样Chrome可以自动更新此插件以保证漏洞被及时修复。而IE,Firefox,Opera等浏览器会使用系统的Flash插件,这样会更容易受到攻击。

(更多…)

Chrome 即将更新以对付攻击 SSL 协议的 BEAST

0

实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了。BEAST 的两位研究人员也没在本周五正式发表前透露太多细节,不过 Google 显然不打算冒任何风险。

BEAST 利用选择明文恢复 (chosen plaintext-recovery) 攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁 (cypher block chaining) 的加密方式使用之前的加密块对下一个块进行加密。Chrome 的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。

了解 BEAST 细节的研究员同意不在周五前泄漏消息,其中一位就是 Google 的安全研究员,他在 Hacker News 的评论说

因为我的工作是 Chrome 的 SSL/TLS 协议栈,因此我知道这一攻击的细节。链接的新闻 (关于 BEAST 的新闻 – Dante 注)根本就是煽情,不过新闻界就好这口儿。

基本上人们没什么可担心的,因为什么也没坏。

Via Google +Dante Jiang and The Register

Google Chrome浏览器被VUPEN Security的研究人员攻破

0

cant-be-hacked-google-chrome

最新版(11.0.696.65)Google Chrome浏览器被VUPEN Security的研究人员攻破。Sandbox/ASLR和DEP都没能阻挡恶意程序。此漏洞影响所有Windows平台的Chrome浏览器,漏洞的具体技术细节没有被公布,只公布了演示视频。Chrome浏览器一向以安全著称,在过去2011,2010和2009年的Pwn2Own竞赛中都未被黑客拿下。

(更多…)

令人震惊的专门针对 Chrome 设计的病毒

0

很多人喜欢 Chrome因为觉得这个浏览器很安全,尤其是两届 Pwn2Own黑客大赛上 Chrome都没被攻破之后,更是坚定了一局部人觉得使用 Chrome就远离了病毒的想法。然而,最近冒出的一个病毒不只能让 Chrome用户轻松中招,而且还是专门为 Chrome设计的.

cross-platform-malware-chrome-000-550x496

病毒的发现者是一名叫做 KevinDent微软 Silverlight开发人员用 Chrome浏览器搜索“Silverlightdatagridreordercolumn这个关键字(一看就是查资料)得到搜索结果之后像往常一样点开自己感兴趣的页面。于是打开了上图中的第6个链接(现在这个链接已被 Googl河蟹)奇怪的事情呈现了:

(更多…)

回到顶部