悪意あるコードが仕込まれたChrome拡張機能が大量に発見される
セキュリティ研究者で、有名な拡張機能「AdBlock Plus」の元開発者でもあるウラジミール・パラント氏が、Chromeウェブストアにある多数の拡張機能に難読化された悪意あるコードが含まれていたことを発表したと報告しました。 More malicious extensions in Chrome Web Store | Almost Secure https://palant.info/2023/05/31/more-malicious-extensions-in-chrome-web-store/ パラント氏が最初にこの問題を発見したのは、PDFファイルの編集や結合などの機能を持つ「PDF Toolbox」という拡張機能です。200万人以上のユーザーと「4.2」の評価を得ていたこの拡張機能は、表面的には何の変哲もない拡張機能でしたが、アドウェアを配布している「serasearchtop
Windowsのセキュリティアプリ「Microsoft Defender」がChromeやDiscordなどをマルウェアと誤検知するバグが発生
Microsoftが提供するWindows向けの標準搭載セキュリティソフトウェアである「Microsoft Defender」が、Google ChromeやMicrosoft Edge、Discordといったアプリケーションをマルウェアとして誤検知してしまうバグが発生しています。 Windows Defender is reporting a false-positive threat 'Behavior:Win32/Hive.ZY'; it's nothing to be worried about | Windows Central https://www.windowscentral.com/software-apps/windows-11/windows-defender-is-reporting-a-false-positive-threat-behaviorwin32hive
Yahoo! JAPAN はパスワードレス認証で問い合わせを 25% 削減、ログイン時間も 2.6 倍速に
Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか
「Chrome 100」リリース 新ロゴやユーザーエージェント対策など
米Googleは3月29日(現地時間)、Webブラウザ安定版のアップデートとなる「Chrome 100」(バージョン100.0.4896.60)をWindows、Mac、Linux向けに公開したと発表した。数日かけてロールアウトしていく。 2008年9月1日に最初のβ版をリリースしてから約13年でバージョン100を迎えた。 一般ユーザー向けの新機能としては、ロゴのデザイン変更、Webアプリでのマルチディスプレイ対応、[設定]→「プライバシーとセキュリティ」の「安全確認」の改善などが追加された。 新しいロゴについてGoogleは、隣接する色の境目にあったシャドウをなくし、中心の円を大きくし、色も明るくしたと説明した。 Webアプリのマルチディスプレイ対応で、プレゼンなどで大画面でスライドを表示し、手元のPCで原稿メモを表示するような使い方ができるようになる。 バージョンが3桁になり、UA(ユ
Chromeブラウザに緊急セキュリティ更新 悪用されたゼロデイ脆弱性を修正
米Googleは3月25日(現地時間)、Windows、Mac、Linux版のChromeブラウザの緊急アップデート「99.0.4844.84」をリリースしたと発表した。実際に悪用された重要度「High」のゼロデイ脆弱性1件に対処する。 「向こう数日~数週間で展開される」としているが、[ヘルプ]→[Google Chromeについて]で手動でアップデートすることをお勧めする。 Googleはこの「CVE-2022-1096」を、匿名のセキュリティ研究者によって23日に報告されたV8 JavaScriptエンジンの脆弱性としており、「エクスプロイトが実際に存在することを認識している」という。 詳細についてのリンクへのアクセスは本稿執筆現在制限されている。ユーザーの大部分がアップデートを完了するまでは制限する可能性がある。 なお、米MicrosoftもChromeベースのブラウザEdgeの緊急
なぜChromeはURLを殺そうとするのか? (Chrome Dev Summit 2019) - ぼちぼち日記
今年もChrome開発者の集まりChrome Dev Summit 2019 (CDS) がサンフランシスコで開催されました。 今回、私が Chrome Customer Advisory Board (CAB) に選出していただいたこともあり、CDSに初めて参加しました。 これは、CDS終了後のCAB meetingで頂いたChrome Dinosaurフィギュアです。ちなみにゲームはできません。 タイトルの「なぜChromeはURLを殺そうとするのか?」は、2日目Chrome Leadsのパネルセッションで司会のGooglerが、Chrome UX担当のProduct Managerに対して一番最初に投げかけた問いです。 PMは直ちに「そんなことはしない」と即答しました。しかしChromeは、URLの表示領域からHTTPSの緑色表示の廃止・EV表示場所の移動・wwwサブドメイン表示の削
GoogleのChromeウェブストアに偽の広告ブロッカー、約2000万人がダウンロード
偽ブロッカーの作者は検索結果の上位に来るような用語をちりばめて、ユーザーがインストールするよう仕向けていたという。 モバイルやデスクトップ向けの広告ブロッカーを手掛けるAdGuardは、Googleの公式ストア「WebStore」で、Chrome向けの拡張機能として偽の広告ブロッカーが提供され、2000万人以上のユーザーがだまされてインストールしていたことが分かったと伝えた。 AdGuardのブログによると、偽ブロッカーの作者は、人気広告ブロッカーに数行のコードを付け加えただけの「クローン」を作成し、検索結果の上位に来るような用語をちりばめて、ユーザーがインストールするよう仕向けていたという。 そうした偽ブロッカーの1つ、「AdRemover」を詳しく調べた結果、javascriptライブラリのjQueryに隠した悪質なコードを使って、ユーザーが閲覧したWebサイトに関する情報を外部のサー
暮らしに役立つITコラム ChromeやSafariの自動入力機能が、なぜ「悪いデザイン」なのか
autofill_ui.md 見た目の上で、隠されているフィールドに対しても自動入力してしまうという問題が話題になっている(2017年1月) https://github.com/anttiviljami/browser-autofill-phishing のだけれど、この問題の歴史はとても古い。自分も調査したり問題を報告したりしているので、振り返ってみる。 2012年の話 2012年4月のShibuya.XSS #1 https://atnd.org/events/25689 で、Hamachiya2が発表した http://hamachiya.com/junk/x-autocompletetype.php この問題に関連して「手の込んだクリックジャッキング」を使って情報を盗み出すデモを作った。 https://plus.google.com/112675818324417081103/
Webブラウザの自動入力機能、個人情報盗むフィッシング詐欺に悪用の恐れ
Google ChromeなどのWebブラウザで、フォームに情報が自動入力されるオートコンプリート機能について、名前など一部の情報を入力しただけで、ユーザーが知らないうちに住所や電話番号、会社名といった情報まで送信させるフィッシング詐欺攻撃に悪用できてしまう問題をWeb開発者が指摘した。 自動入力機能は、Chromeではデフォルトで有効になっており、名前や組織名、住所、電話、メールアドレスなどの情報が保存されてフォームに自動的に入力される。 フィンランドのWeb開発者Viljami Kuosmanen氏は、この機能を悪用したフィッシング詐欺のデモページをGitHubに掲載した。このページで名前とメールアドレスのみを入力して「送信」ボタンをクリックすると、自動入力機能で保存されていた電話番号、組織名、住所といった情報までが、ユーザーの知らないうちに送信されてしまう。
Google Chromeアンケートのフィッシング詐欺に引っかかる - Rinのシンプル生活
2016 - 08 - 28 Google Chromeアンケートのフィッシング詐欺に引っかかる 日々のこと ミニマリスト にはなれないけれど、モノを極力増やさないシンプルな生活を心がけています。 お片付け・断捨離・インテリア等を中心に日々の生活を綴っています。 今日はライフスタイルネタではありません。 実は、昨日 Google Chrome アンケートの フィッシング詐欺 に引っかかり、アンケートを答えてしまいました。 Google Chrome アンケートの フィッシング詐欺 いつものようにパソコンでネットを見ていると、いきなりこんな画面が出てきました。 本日ラッキーな訪問者はあなたですと・・・ 「え!私ラッキーなの?」 グーグルのマークが出ているので、何の疑いもなく浮かれてました。 もちろOKをクリックしました。 早速アンケートが始まりました。 質問1:どのくらいの頻度で Chrom
Googleの検索結果のURLをコピペすると直前に何を検索していたかばれる
Googleの検索結果を人とシェアした経験がある人も多いはずですが、検索結果のURLを見れば、直前にその人が何を検索していたかが一目瞭然であるということがマサチューセッツ工科大学のJeremy Rubinさんによって指摘されています。 Caution: Copy-Pasting URLs from Google Search can Leak Previous Searches — Medium https://medium.com/@jeremyrubin/caution-copy-pasting-urls-from-google-search-can-leak-previous-searches-11940508e79 ある日、Rubinさんは友人から送られてきたURLを見て、不思議なことに気づきます。URLはGoogleの検索結果を示していたのですが、実際に表示されるページとは関係の
Chromeそっくりのデザインと挙動でユーザーが気づかないうちにブラウザを置き換える「eFast Browser」
GoogleのブラウザChromeになりすまし、あらゆる関連づけを変更して、Chromeを置き換えるブラウザ「eFast Browser(eFastブラウザ)」について、セキュリティソフトウェア会社が注意喚起を行っています。eFastブラウザは独自のポップアップ広告を表示するだけでなく、プライバシー情報を収集している可能性が指摘されています。 eFast browser hijacks file associations | Malwarebytes Unpacked https://blog.malwarebytes.org/online-security/2015/10/efast-browser-hijacks-file-associations/ Ads by eFast_Browser - how to remove? https://www.pcrisk.com/removal
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
なんとパスワードも。ChromeとEdge、スペルチェック時に入力データが外部送信される仕組みに注意【やじうまWatch】
Chromeに3件の重大な脆弱性。うち1件はすでに悪用を確認
“江頭2:50”を「Google Chrome」のアドレスバーからググると……?/あまり知られていないURLの形式が罠に【やじうまの杜】
Engadget | Technology News & Reviews
「Google Chrome」にゼロデイ脆弱性 ~ローカルPDFファイルを開くと個人情報が漏洩/Googleは4月下旬の修正を約束
【やじうまPC Watch】 2,000万人のChromeユーザーが偽の「広告ブロック」拡張機能を導入している
Webブラウザーの動作を妨げる迷惑ソフトを一掃してくれるGoogle製のクリーナーツール - 窓の杜
【#モリトーク】第130話:メモリ消費が軽減されたChromeの副作用