「Google Chrome」で致命的な脆弱性が修正、できるだけ早いアップデートを/Windows環境にはv127.0.6533.88/89が展開中
Chromeウェブストアの拡張機能が原因でマルウェアに感染しているユーザーは数億人に上ることが判明
Googleが提供するウェブブラウザの「Google Chrome」には、ブラウジングを便利にするさまざまな拡張機能を追加できる「Chromeウェブストア」が存在します。スタンフォード大学のセキュリティ専門家チームが、Chromeウェブストアから入手した拡張機能が原因で、数億人ものユーザーがマルウェアに感染していることを報告しています。 [2406.12710] What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions https://arxiv.org/abs/2406.12710 Security experts find millions of users running malware infected extensions from Google Chrome Web
見ているサイト上に露出している機密情報(APIトークン、IPアドレスなど)を見つけるブラウザ拡張を作りました
見ているサイト上に露出している機密情報(APIトークン、IPアドレスなど)を見つけるブラウザ拡張を作りました SecretlintというAPIトークンなどの機密情報がファイル内に含まれているかをチェックできるツールを書いています。 Secretlintはコマンドラインツールとして動くので、主にCIやGitのpre-commit hookを利用して、リポジトリに機密情報が入るのを防止できます。 SecretlintでAPIトークンや秘密鍵などのコミットを防止する | Web Scratch 一方で、実際のウェブサービスなどは機密情報がファイルにハードコードされているわけではなく(Secrelint自体がこういうハードコードを防ぐツールです)、環境変数やDatabaseに保存していると思います。 このような場合にも、コードのミスなどによって公開するべきではない情報(秘密鍵、APIトークン、Sl
nano系の広告ブロックは速やかに削除しましょう | 280blocker
有名な広告ブロック機能拡張であるNanoAdblockerとNanoDefenderが正体不明の開発者に買収され、安全な機能拡張とは言えなくなりました。 これらを使用している方は速やかに削除して、uBlock Originへ乗り換えましょう。安心できる開発者であることが明らかになるまでnanoのインストールは控えましょう。 これまでの流れ NanoAdblockerとNanoDefenderは広告ブロックの有名な機能拡張でublockから派生したものです。 以前は独自機能で魅力的でしたが、最近はアップデートも遅れがちで、ublockのアップデートに追い付いていない状態が続いていました。 2020年10月3日にnanoの開発者よりアナウンスがあり、機能拡張をトルコの開発者へ売却する事が明らかになりました。売却先の詳細や買収した意図は不明です。その数日後ににnano機能拡張の開発元表示が売却先
Google Chromeの複数の拡張機能で個人情報の窃取が行われていたことが判明、該当する拡張機能の総DL数は3300万回
Chromeウェブストアで公開されていたGoogle Chrome向け拡張機能の中に、スクリーンショットの撮影やクリップボードの内容取得、Cookieなどに保存されたトークンの取得、キーストロークの把握などを行うマルウェアが多数含まれていたことを、セキュリティ企業のAwake Securityが報告しています。 The Internet's New Arms Dealers: Malicious Domain Registrars | Awake Security https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/ Exclusive: Massive spying on users of Google's Chrome shows new se
GoogleがChrome 79で強化された「パスワード保護機能」の仕組みを解説
2019年12月11日、ウェブブラウザ「Google Chrome」のバージョン79.0.3945.79がリリースされました。Googleは「バージョン79で、パスワード保護機能を段階的に強化していく」と発表し、パスワード保護機能の仕組みについて解説を行っています。 Better password protections in Chrome https://www.blog.google/products/chrome/better-password-protections/ Google Online Security Blog: Better password protections in Chrome - How it works https://security.googleblog.com/2019/12/better-password-protections-in-chrome
Googleがインターネット上で使用するパスワードがデータ侵害にあった危険なものでないかを逐一チェックしてくれる「Password Checkup」をリリース
Googleがインターネット上で使用されるアカウントの不正使用を防止するため、入力したパスワードが第三者によるデータ漏えいの影響を受けていないかを自動で調べる拡張機能「Password Checkup」をリリースしました。 Google Online Security Blog: Protect your accounts from data breaches with Password Checkup https://security.googleblog.com/2019/02/protect-your-accounts-from-data.html Googleでは第三者によるデータ漏えいの影響を受けたGoogleアカウントのパスワードを定期的にリセットしています。この戦略により、「過去2年間で約1億1000万人以上のGoogleユーザーをデータ侵害の魔の手から保護することに成功して
ウェブブラウザ「Opera 50」にビットコインマイニングを許可しない機能が登場
2017年9月に人気サイトがアクセス数の多さを利用し閲覧者のCPUパワーで仮想通貨をマイニングする仕組みを導入し話題となりましたが、その後、ウェブサイト訪問者のPCリソースを秘密裏に借り受けてブラウザを閉じても仮想通貨をマイニングし続ける手法などが見つかり問題視されていました。こういった状況を受け、ウェブブラウザ「Opera」の最新版となるバージョン50ではビットコイン(Bitcoin)マイニング保護機能が搭載されることが発表されました。 Opera 50 Beta RC with Cryptocurrency Mining Protection - Opera Desktop http://blogs.opera.com/desktop/2017/12/opera-50-beta-rc-cryptocurrency-mining-protection/ Opera 50 web brow
特定の16文字をアドレスバーに入力するとGoogle Chromeがクラッシュするバグが見つかる
2015年6月に特定の8文字を送受信するとSkypeがクラッシュしてしまうバグが発見され話題となりましたが、その2倍となる16文字をGoogle Chromeのアドレスバーに入力すると、Chromeもクラッシュしてしまうことが判明しました。 These 16 characters crash Google Chrome | VentureBeat | Security | by Emil Protalinski http://venturebeat.com/2015/09/18/these-16-characters-crash-google-chrome/ Google Chromeで新たに発見されたバグは、アドレスバーに特定の16文字を入力してエンターキーを押す、もしくは16文字のリンクアドレスにマウスオーバーすると、ブラウザが強制終了してしまうというもの。このバグを発見したのはAnd
ウェブページ上にスパム広告を表示しまくる偽物の「Evernote用拡張機能」が出回る
By othree フリーのセキュリティソフトを提供するMalwarebytesの研究員が、偽物の「Evernote用拡張機能」を発見し、これをウイルス・マルウェア・URLの無料オンラインスキャンサービスVirusTotalにてスキャンしてみたところ、怪しいプログラム(PUP)であることが判明しました。 Fake Evernote Extension Serves Advertisements | Malwarebytes Unpacked https://blog.malwarebytes.org/intelligence/2014/08/fake-evernote-extension-serves-advertisements/ Fake Evernote extension is spamming Chrome users, warns Malwarebytes- The Inqui
本当は怖いChrome拡張機能(作ってみたら確かにヤバかった) - DRYな備忘録
otiai10です。最近はフロントエンドのTypeScriptを書くお仕事をしています。個人的に艦これウィジェットやtwickというChrome拡張を作ってたりもします。先に言っておきますが、これらはどちらもGithubでソースコードを公開しており、悪いことしようが無いです。 端的に言うと、Chrome拡張はヤバいです。何でもできちゃう。 どんくらいヤバいか知ってもらうためにどうしようか考えた結果、ヤバいChrome拡張を作りました。30分かかんなかったです。 https://github.com/otiai10/chrome-twitter-hijack-sample (「レポジトリをforkして悪用する人間が出てくるかもしれない」とのご指摘を頂いたので、これを削除します) git cloneしてchrome://extensionsからパッケージ化されていない拡張機能を読み込むでこのr
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft、「Chromium」に新しいセキュリティ層を追加 ~「Edge 123」で一般展開へ/攻撃を封じ込める「サンドボックス」の穴となっていた「MojoJS」に対策
Engadget | Technology News & Reviews
海外のセキュリティ調査会社、“偽のChrome拡張機能”を数珠つなぎに見つける手法を明らかに【やじうまWatch】
Googleの「FLoC」、自分のブラウザーで有効になっているか確認できるツールが登場【やじうまWatch】
Google、「Chrome 78」で“DNS-over-HTTPS”を実験/DNSへの問い合わせをセキュアでプライバシーが保たれるHTTPS接続で
タチコマたちが並列化してサイバー攻撃に対応するソフト無償配布、「WarpDrive」プロジェクトが実証実験 
【やじうまPC Watch】 2,000万人のChromeユーザーが偽の「広告ブロック」拡張機能を導入している
Google、2017年1月提供予定の「Chrome 56」で、一部のHTTPサイトに警告を表示へ 
Engadget | Technology News & Reviews