Browser

Eksploitasi zero-day Google Chrome kedua dibagikan di twitter minggu ini

April 15, 2021 by Winnie the Pooh

Eksploitasi eksekusi kode jarak jauh zero-day Chromium kedua telah dirilis di Twitter minggu ini yang memengaruhi versi terbaru Google Chrome, Microsoft Edge, dan kemungkinan browser berbasis Chromium lainnya.

Kerentanan zero-day adalah ketika informasi mendetail tentang kerentanan atau exploit dirilis sebelum pengembang perangkat lunak yang terpengaruh dapat memperbaikinya. Kerentanan ini menimbulkan risiko yang signifikan bagi pengguna karena memungkinkan pelaku ancaman untuk mulai menggunakannya sebelum perbaikan dirilis.

Seorang peneliti keamanan yang dikenal sebagai frust menjatuhkan eksploitasi PoC di Twitter untuk bug zero-day browser berbasis Chromium yang menyebabkan aplikasi Windows Notepad terbuka.

another chrome 0dayhttps://t.co/QJy24ARKlU
Just here to drop a chrome 0day. Yes you read that right.

— frust (@frust93717815) April 14, 2021

Kerentanan zero-day baru ini muncul sehari setelah Google merilis Chrome 89.0.4389.128 untuk memperbaiki kerentanan zero-day Chromium lain yang dirilis secara publik pada hari Senin.

Frust merilis video yang menunjukkan kerentanan yang dieksploitasi untuk membuktikan bahwa eksploitasi PoC mereka berfungsi.

Selengkapnya: Bleeping Computer

Yang Perlu Anda Ketahui Tentang FLoC, Teknologi Penargetan Iklan Google Yang Direncanakan Hadir pada Kita Semua

April 14, 2021 by Winnie the Pooh

Sekitar dua minggu yang lalu, jutaan pengguna Google Chrome mendaftar untuk eksperimen yang tidak pernah mereka setujui untuk menjadi bagiannya. Google baru saja meluncurkan uji coba untuk Federated Learning of Cohort — atau FLoC — jenis baru teknologi penargetan iklan yang dimaksudkan agar tidak terlalu invasif dibandingkan cookie pada umumnya.

Dalam posting blog yang mengumumkan uji coba tersebut, perusahaan mencatat bahwa itu hanya akan berdampak pada “persentase kecil” pengguna acak di sepuluh negara yang berbeda, termasuk AS, Meksiko, dan Kanada, dengan rencana untuk memperluas secara global saat uji coba berjalan.

Pengguna ini mungkin tidak akan melihat sesuatu yang berbeda saat mereka beraktivitas di Chrome, tetapi di balik layar, browser tersebut diam-diam mengawasi setiap situs yang mereka kunjungi dan iklan yang mereka klik.

Para pengguna ini akan memiliki kebiasaan penjelajahan mereka diprofilkan dan dikemas, dan dibagikan dengan pengiklan yang tak terhitung jumlahnya untuk mendapatkan keuntungan. Sekitar bulan ini, Chrome akan memberi pengguna opsi untuk keluar dari eksperimen ini, menurut entri blog Google — tetapi untuk saat ini, satu-satunya opsi mereka adalah memblokir semua cookie pihak ketiga di browser.

Jadi, apa itu FLoC dan bagaimana cara kerjanya? Baca artikel pada link berikut untuk mengetahuinya!

Sumber: Gizmodo

Kerentanan zero-day Google Chrome, Microsoft Edge dibagikan di Twitter

April 14, 2021 by Winnie the Pooh

Seorang peneliti keamanan telah merilis kerentanan eksekusi kode jarak jauh zero-day di Twitter yang berfungsi pada versi Google Chrome dan Microsoft Edge saat ini.

Kerentanan zero-day adalah bug keamanan yang telah diungkapkan secara publik tetapi belum ditambal dalam versi rilis perangkat lunak yang terpengaruh.

Peneliti keamanan Rajvardhan Agarwal merilis eksploitasi bukti-konsep (PoC) yang berfungsi untuk kerentanan eksekusi kode jarak jauh untuk mesin JavaScript V8 di browser berbasis Chromium.

Just here to drop a chrome 0day. Yes you read that right.https://t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR

— Rajvardhan Agarwal (@r4j0x00) April 12, 2021

Meskipun Agarwal menyatakan bahwa kerentanan telah diperbaiki di versi terbaru mesin JavaScript V8, tidak jelas kapan Google akan meluncurkan versi terbaru Google Chrome.

Meskipun tidak ada pengembang yang menyukai perilisan zero-day untuk perangkat lunak mereka, hal baiknya adalah zero-day Agarwal saat ini tidak dapat keluar dari sandbox browser. Sandbox Chrome adalah batas keamanan browser yang mencegah kerentanan eksekusi kode jarak jauh agar tidak meluncurkan program di komputer host.

Agar eksploitasi RCE zero-day Agarwal berfungsi, eksploitasi tersebut perlu digabungkan dengan kerentanan lain yang memungkinkan eksploitasi tersebut keluar dari sandbox Chromium.

Selengkapnya: Bleeping Computer

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

April 1, 2021 by Winnie the Pooh

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer

Baik dan buruknya default keamanan baru web browser Chrome

March 26, 2021 by Winnie the Pooh

Pertama, kabar baiknya. Dimulai dengan rilis pertengahan April browser web Chrome 90 Google, Chrome akan secara default mencoba memuat versi situs web yang telah diamankan dengan Transport Layer Security (TLS). Ini adalah situs yang menampilkan kunci gembok di Omnibox Chrome, yang sebagian besar dari kita kenal sebagai bilah alamat (URL) Chrome. Kabar buruknya adalah bahwa hanya karena sebuah situs diamankan oleh HTTPS tidak berarti situs tersebut dapat dipercaya.

Beberapa tahun yang lalu, WordFence, perusahaan keamanan WordPress yang terkenal, menemukan bahwa sertifikat SSL dikeluarkan oleh certificate authorities (CA) ke situs phishing yang berpura-pura menjadi situs lain. Karena sertifikatnya valid, meskipun beroperasi di tempat yang salah, Chrome melaporkan situs ini sebagai situs yang aman.

Tentu saja, CA tidak boleh mengeluarkan sertifikat keamanan palsu. Sayangnya, itu terjadi. Contoh sempurna dari “Mengapa kita tidak dapat memiliki hal-hal yang menyenangkan,” terungkap bahwa Let’s Encrypt, CA gratis, terbuka, dan otomatis, telah digunakan untuk membuat ribuan sertifikat SSL untuk situs phishing secara ilegal menggunakan PayPal, Google, Microsoft, dan Apple sebagai bagian dari nama mereka.

Paul Walsh, pendiri dan CEO perusahaan keamanan zero-trust, MetaCert dan salah satu pendiri Standar Klasifikasi URL World Wide Web Consortium (W3C), melihat banyak masalah lain dengan keyakinan naif kita bahwa HTTPS saja sudah cukup untuk mengamankan koneksi internet kita.

Walsh percaya bahwa apa yang Google lakukan “secara teori hebat, tetapi pelaksanaannya menyebalkan. Menurut saya, tidak etis bagi satu perusahaan yang mewakili satu pemangku kepentingan untuk mengatur apa yang menurut mereka adalah hal yang benar untuk setiap pembuat situs web dan setiap orang yang menggunakan web”.

Selain itu, seperti yang diamati Walsh dalam analisisnya tentang keamanan situs web, “gembok [URL] dasar dirancang untuk memberi tahu pengguna saat sambungan mereka ke situs web dienkripsi. Gembok tidak mewakili apa pun yang terkait dengan kepercayaan atau identitas”.

Selengkapnya: ZDNet

Google menghapus ekstensi Chrome ClearURL yang berfokus pada privasi

March 25, 2021 by Winnie the Pooh

Google secara misterius telah menghapus ClearURL, ekstensi browser populer, dari Toko Web Chrome.

ClearURLs adalah add-on browser yang menjaga privasi yang secara otomatis menghapus elemen pelacakan dari URL. Ini, menurut pengembangnya, dapat membantu melindungi privasi Anda saat menjelajah Internet.

ClearURLs adalah add-on browser web yang tersedia untuk Google Chrome dan Mozilla Firefox yang bertugas menghapus bit pelacakan dari URL.

Banyak situs web memiliki URL yang sangat panjang dengan parameter tambahan yang tidak memiliki nilai fungsional tetapi hanya digunakan untuk tujuan pelacakan.

Menariknya, URL hasil pencarian Google juga menggunakannya.

Saat mengklik hasil pencarian gambar, misalnya, Google tidak langsung mengirim Anda ke URL asli halaman webnya, melainkan URL perantara yang mengarahkan Anda.

Bleeping Computer memberi contoh:
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bleepingcomputer.com%2F&psig=AXXXXXYAWa
&ust=1616XXXXXXX&source=images&cd=vfe&ved=0CXXXXe-p3XXX

Parameter tambahan pada URL di atas (ved, cd, dll.) Hanya melacak bit dan perujuk yang digunakan untuk analitik.

ClearURLs dirancang untuk menyaring parameter pelacakan tersebut dari URL dan meningkatkan privasi online pengguna.

Namun, pengguna melihat ClearURL menghilang dari Toko Web Chrome dengan lamannya menampilkan pesan kesalahan 404 (tidak ditemukan).

Pengembang mengajukan banding ke Google agar tidak memblokir ekstensi dan mendapat respon dari Google.

Dalam salinan email yang dibagikan oleh pengembang, Google mengklaim bahwa deskripsi ekstensi “terlalu mendetail” dan melanggar aturan Toko Web Chrome.

Selengkapnya: Bleeping Computer

Google Chrome akan menggunakan HTTPS sebagai protokol navigasi default

March 25, 2021 by Winnie the Pooh

Google Chrome akan beralih memilih HTTPS sebagai protokol default untuk semua URL yang diketik di bilah alamat, dimulai dengan versi stabil berikutnya dari browser web tersebut.

Fitur ini memasuki pengujian bulan lalu, dan diluncurkan sebagai bagian dari eksperimen terbatas untuk pengguna Chrome Canary, Dev, atau Beta.

Perubahan tersebut akan diluncurkan ke Chrome Desktop dan Chrome versi stabil untuk Android setelah diperbarui ke versi 90 (akan dirilis pada 13 April), dengan peluncuran iOS dijadwalkan akhir tahun ini.

Langkah ini adalah bagian dari upaya yang lebih besar untuk melindungi pengguna dari penyerang yang mencoba mencegat lalu lintas web mereka yang tidak terenkripsi dan mempercepat pemuatan situs web yang disajikan melalui HTTPS.

Selengkapnya: Bleeping Computer

Firefox 87 dikemas dengan penjelajahan pribadi ‘SmartBlock’

March 24, 2021 by Winnie the Pooh

Mozilla telah meluncurkan Firefox 87, dengan versi terbaru dari browser yang memiliki fitur “SmartBlock”, sebuah fitur privasi baru yang disebut-sebut dengan cerdas memperbaiki halaman web yang rusak dengan melacak perlindungan, tanpa mengorbankan privasi pengguna.

SmartBlock bertujuan untuk mendukung fitur pemblokiran konten bawaan Firefox – tersedia di mode penjelajahan pribadi dan perlindungan pelacakan ketat selama enam tahun terakhir – yang memblokir skrip pihak ketiga, gambar, dan konten lainnya agar tidak dimuat dari pelacakan lintas situs perusahaan yang dilaporkan oleh Disconnect.

Dijelaskan dalam blog mereka, dengan memblokir komponen pelacakan ini, jendela penjelajahan pribadi Firefox mencegah perusahaan ini mengawasi pengguna saat mereka menjelajah internet.

“Hal ini dapat mengakibatkan gambar tidak muncul, fitur tidak berfungsi, performa buruk, atau bahkan seluruh halaman tidak dapat dimuat sama sekali,” jelas Mozilla. “Untuk mengurangi kerusakan ini, Firefox 87 sekarang memperkenalkan fitur privasi baru yang kami sebut SmartBlock”.

SmartBlock melakukan ini dengan menyediakan stand-in lokal untuk skrip pelacakan pihak ketiga yang diblokir.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Browser

Cookies Settings