learn.hack.repeat

Étiquette : Google

Attention aux petites annonces…

Le moteur de recherche Google souffre d’un effet indésirable sur la sécurité de ses clients. Les attaquants achètent des publicités pour apparaître en tête des résultats de recherche.

Sources: Pexels

Ainsi, lorsqu’un utilisateur recherche des outils populaires tels que WinRar, 7-zip, VCL, Rufus, etc., le moteur de recherche présente d’abord une publicité pour un site qui ressemble beaucoup à la page originale et légitime du programme. Au lieu de cela, un exécutable est téléchargé qui, une fois lancé, ne fait apparemment rien. Cependant, il volera toutes les sessions possibles et les réseaux sociaux de la victime. Un influenceur bien connu a tiré la sonnette d’alarme après avoir été victime de cette attaque et « avoir vu tous les canaux vers sa communauté, sa famille et ses amis compromis ». Ces derniers jours, même les annonces génériques de Google ont été touchées. Ils se font également passer pour des outils légitimes et les logiciels malveillants installés se sont orientés vers différentes formes de ransomware.

Le moteur de recherche souffre de ce problème depuis plusieurs jours. Les attaquants profitent de la possibilité d’acheter des publicités, de les placer en tête des recherches et, ce faisant, de ne pas vérifier leur légitimité. Après avoir été signalées par certaines victimes, elles sont retirées à la main. Mais cela se produit encore et encore.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/

Vulnerability Reward

Le code open source est sous les projecteurs de la sécurité. Les attaques contre ce type de logiciel (généralement sous la forme d’une chaîne d’approvisionnement, c’est-à-dire un logiciel qui utilise d’autres logiciels libres ou non libres dans le cadre de ses fonctionnalités) ont augmenté de 650 % en 2021. Et non, les milliers d’yeux qui sont censés être capables de voir le code ne semblent pas le vérifier. Du moins, pas gratuitement. En 2017, l’Europe a lancé le projet EU-FOSSA (EU-Free and Open Source Software Auditing) pour rémunérer toute personne qui auditerait des logiciels libres largement utilisés (VLC, Keepass…). Et maintenant, Google va également payer pour encourager les logiciels libres (qu’ils utilisent) à être audités.

Elle paiera de 100 à 31 337 dollars pour les bugs découverts dans les logiciels libres stockés dans les référentiels publics de Google. Bien entendu, elle s’appuie sur des projets dont Google est propriétaire ou dont la société fait un usage intensif. L’accent est mis sur Bazel (compilateur et testeur), le protocole Buffer, Angular, Golang, Fuchsia (un système d’exploitation simple pour les mobiles) auxquels ils accorderont une attention particulière. Mais les tiers dont dépendent ces logiciels entrent également dans l’équation.

L’initiative OSS VRP (Open Source Software Vulnerability Reward Program) fait partie des 10 millions de dollars que Google s’est engagé à dépenser l’année dernière après avoir rencontré à la Maison Blanche l’administration Biden, qui a fait remarquer que les bugs des logiciels libres étaient déjà une préoccupation nationale.

Plus d’information:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules

Nouveau 0-day dans Google Chrome

Google a publié lundi dernier une nouvelle version de son navigateur Google Chrome qui applique plusieurs correctifs de sécurité corrigeant huit vulnérabilités, dont une vulnérabilité élevée qui est actuellement activement exploitée, étant la première vulnérabilité de type 0-day corrigée par le géant de l’Internet en 2022.

Les vulnérabilités de sécurité (CVE-2022-0603, CVE-2022-0604, CVE-2022-0605, CVE-2022-0606, CVE-2022-0607, CVE-2022-0608, CVE-2022-0609) présentent un risque élevé tandis que la vulnérabilité (CVE-2022-0610) présente un risque moyen.

Google reconnaît avoir eu connaissance de rapports faisant état de l’existence d’un exploit pour CVE-2022-0609, qui est utilisé dans des attaques actuellement en cours. Adam Weidemann et Clément Lecigne du groupe d’analyse des menaces (TAG) de Google sont responsables de la découverte et du signalement de la vulnérabilité.

L’accès aux détails de la vulnérabilité est actuellement restreint.

Google recommande de passer à la version stable 98.0.4758.102 pour Windows, Mac et Linux, qui sera déployée dans les jours/semaines à venir.

La liste complète des modifications apportées à cette version est disponible dans le journal des modifications.

Plus d’information: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://blog.google/threat-analysis-group/
https://sites.google.com/a/chromium.org/dev/Home/chromium-security

Fièrement propulsé par WordPress & Thème par Anders Norén