Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Chrome

Chrome

Yang Perlu Anda Ketahui Tentang FLoC, Teknologi Penargetan Iklan Google Yang Direncanakan Hadir pada Kita Semua

by

Sekitar dua minggu yang lalu, jutaan pengguna Google Chrome mendaftar untuk eksperimen yang tidak pernah mereka setujui untuk menjadi bagiannya. Google baru saja meluncurkan uji coba untuk Federated Learning of Cohort — atau FLoC — jenis baru teknologi penargetan iklan yang dimaksudkan agar tidak terlalu invasif dibandingkan cookie pada umumnya.

Dalam posting blog yang mengumumkan uji coba tersebut, perusahaan mencatat bahwa itu hanya akan berdampak pada “persentase kecil” pengguna acak di sepuluh negara yang berbeda, termasuk AS, Meksiko, dan Kanada, dengan rencana untuk memperluas secara global saat uji coba berjalan.

Pengguna ini mungkin tidak akan melihat sesuatu yang berbeda saat mereka beraktivitas di Chrome, tetapi di balik layar, browser tersebut diam-diam mengawasi setiap situs yang mereka kunjungi dan iklan yang mereka klik.

Para pengguna ini akan memiliki kebiasaan penjelajahan mereka diprofilkan dan dikemas, dan dibagikan dengan pengiklan yang tak terhitung jumlahnya untuk mendapatkan keuntungan. Sekitar bulan ini, Chrome akan memberi pengguna opsi untuk keluar dari eksperimen ini, menurut entri blog Google — tetapi untuk saat ini, satu-satunya opsi mereka adalah memblokir semua cookie pihak ketiga di browser.

Jadi, apa itu FLoC dan bagaimana cara kerjanya? Baca artikel pada link berikut untuk mengetahuinya!

Sumber: Gizmodo

Kerentanan zero-day Google Chrome, Microsoft Edge dibagikan di Twitter

by

Seorang peneliti keamanan telah merilis kerentanan eksekusi kode jarak jauh zero-day di Twitter yang berfungsi pada versi Google Chrome dan Microsoft Edge saat ini.

Kerentanan zero-day adalah bug keamanan yang telah diungkapkan secara publik tetapi belum ditambal dalam versi rilis perangkat lunak yang terpengaruh.

Peneliti keamanan Rajvardhan Agarwal merilis eksploitasi bukti-konsep (PoC) yang berfungsi untuk kerentanan eksekusi kode jarak jauh untuk mesin JavaScript V8 di browser berbasis Chromium.

Meskipun Agarwal menyatakan bahwa kerentanan telah diperbaiki di versi terbaru mesin JavaScript V8, tidak jelas kapan Google akan meluncurkan versi terbaru Google Chrome.

Meskipun tidak ada pengembang yang menyukai perilisan zero-day untuk perangkat lunak mereka, hal baiknya adalah zero-day Agarwal saat ini tidak dapat keluar dari sandbox browser. Sandbox Chrome adalah batas keamanan browser yang mencegah kerentanan eksekusi kode jarak jauh agar tidak meluncurkan program di komputer host.

Agar eksploitasi RCE zero-day Agarwal berfungsi, eksploitasi tersebut perlu digabungkan dengan kerentanan lain yang memungkinkan eksploitasi tersebut keluar dari sandbox Chromium.

Selengkapnya: Bleeping Computer

Google Chrome untuk Linux mendapatkan DNS-over-HTTPS, tetapi ada maksud lain

by

Pengembang Google Chrome telah mengumumkan rencana untuk meluncurkan dukungan DNS-over-HTTPS (DoH) ke browser web Chrome untuk Linux.

Sementara versi pasti dari Chrome untuk Linux yang akan keluar dengan dukungan DoH belum diumumkan, proyek Chromium mengharapkan M91 atau M92 untuk memuat fitur tersebut.

DoH mengenkripsi lalu lintas DNS biasa melalui HTTPS dengan permintaan dan tanggapan DNS yang dikirim melalui port 443, membuat lalu lintas berbaur langsung dengan lalu lintas biasa ke situs web HTTPS.

Ini tidak hanya menyediakan enkripsi end-to-end kepada pengguna tetapi juga privasi yang diperpanjang, karena sekarang lalu lintas DNS mereka tidak dapat dengan mudah dicegat oleh administrator jaringan.

“Chrome tidak pernah mendukung DoH di Linux karena itu akan membutuhkan klien DNS bawaan Chrome, yang saat ini dinonaktifkan di Linux,” membaca dokumen desain untuk fitur yang akan datang ini.

Chrome selalu mendelegasikan resolusi host di Linux ke resolver DNS sistem operasi, kecuali dengan pengaturan kebijakan non-standar.

Selain itu, klien DNS bawaan browser web telah dibiarkan nonaktif pada implementasi Linux selama bertahun-tahun karena Chrome tidak menerima konfigurasi DNS Linux lanjutan melalui file Linux Name Configuration Switch (nsswitch.conf), jelas pengembang Chromium Eric Orth dalam dokumen tersebut.

Agar pemecah DNS bawaan Chrome berfungsi lancar dengan Linux, Chrome perlu membaca dan mengurai konfigurasi DNS Linux agar dapat menonaktifkan DoH pada konfigurasi yang tidak didukung.

Secara khusus, dukungan harus ada di dalamnya sehingga Chrome dapat menerima pengaturan konfigurasi resolusi host lanjutan yang ditentukan dalam file nsswitch.conf.

Jika tidak demikian, Chrome tidak akan beralih ke DoH atau menggunakan resolver DNS bawaan kecuali pengguna secara eksplisit memilih server DoH di setelan Chrome.

Selain itu, meskipun DoH membawa serta keamanan dan privasi tambahan untuk pengguna, ada beberapa peringatan kecil dengan implementasi DoH, apa pun platformnya.

Selengkapnya: Bleeping Computer

Baik dan buruknya default keamanan baru web browser Chrome

by

Pertama, kabar baiknya. Dimulai dengan rilis pertengahan April browser web Chrome 90 Google, Chrome akan secara default mencoba memuat versi situs web yang telah diamankan dengan Transport Layer Security (TLS). Ini adalah situs yang menampilkan kunci gembok di Omnibox Chrome, yang sebagian besar dari kita kenal sebagai bilah alamat (URL) Chrome. Kabar buruknya adalah bahwa hanya karena sebuah situs diamankan oleh HTTPS tidak berarti situs tersebut dapat dipercaya.

Beberapa tahun yang lalu, WordFence, perusahaan keamanan WordPress yang terkenal, menemukan bahwa sertifikat SSL dikeluarkan oleh certificate authorities (CA) ke situs phishing yang berpura-pura menjadi situs lain. Karena sertifikatnya valid, meskipun beroperasi di tempat yang salah, Chrome melaporkan situs ini sebagai situs yang aman.

Tentu saja, CA tidak boleh mengeluarkan sertifikat keamanan palsu. Sayangnya, itu terjadi. Contoh sempurna dari “Mengapa kita tidak dapat memiliki hal-hal yang menyenangkan,” terungkap bahwa Let’s Encrypt, CA gratis, terbuka, dan otomatis, telah digunakan untuk membuat ribuan sertifikat SSL untuk situs phishing secara ilegal menggunakan PayPal, Google, Microsoft, dan Apple sebagai bagian dari nama mereka.

Paul Walsh, pendiri dan CEO perusahaan keamanan zero-trust, MetaCert dan salah satu pendiri Standar Klasifikasi URL World Wide Web Consortium (W3C), melihat banyak masalah lain dengan keyakinan naif kita bahwa HTTPS saja sudah cukup untuk mengamankan koneksi internet kita.

Walsh percaya bahwa apa yang Google lakukan “secara teori hebat, tetapi pelaksanaannya menyebalkan. Menurut saya, tidak etis bagi satu perusahaan yang mewakili satu pemangku kepentingan untuk mengatur apa yang menurut mereka adalah hal yang benar untuk setiap pembuat situs web dan setiap orang yang menggunakan web”.

Selain itu, seperti yang diamati Walsh dalam analisisnya tentang keamanan situs web, “gembok [URL] dasar dirancang untuk memberi tahu pengguna saat sambungan mereka ke situs web dienkripsi. Gembok tidak mewakili apa pun yang terkait dengan kepercayaan atau identitas”.

Selengkapnya: ZDNet

Google Chrome akan menggunakan HTTPS sebagai protokol navigasi default

by

Google Chrome akan beralih memilih HTTPS sebagai protokol default untuk semua URL yang diketik di bilah alamat, dimulai dengan versi stabil berikutnya dari browser web tersebut.

Fitur ini memasuki pengujian bulan lalu, dan diluncurkan sebagai bagian dari eksperimen terbatas untuk pengguna Chrome Canary, Dev, atau Beta.

Perubahan tersebut akan diluncurkan ke Chrome Desktop dan Chrome versi stabil untuk Android setelah diperbarui ke versi 90 (akan dirilis pada 13 April), dengan peluncuran iOS dijadwalkan akhir tahun ini.

Langkah ini adalah bagian dari upaya yang lebih besar untuk melindungi pengguna dari penyerang yang mencoba mencegat lalu lintas web mereka yang tidak terenkripsi dan mempercepat pemuatan situs web yang disajikan melalui HTTPS.

Sumber: Google

Selengkapnya: Bleeping Computer

Google memperbaiki kerentanan zero-day kedua yang aktif dieksploitasi bulan ini

by

Google telah memperbaiki zero-day Chrome yang dieksploitasi secara aktif bulan ini dengan merilis Chrome 89.0.4389.90 ke saluran desktop Stabil untuk pengguna Windows, Mac, dan Linux.

Zero-day yang dilacak sebagai CVE-2021-21193 dinilai oleh Google sebagai kerentanan dengan tingkat keparahan tinggi dan dilaporkan oleh peneliti Anonymous pada hari Selasa.

Google menggambarkannya sebagai “use after free bug in Blink”, mesin rendering browser sumber terbuka yang dikembangkan oleh proyek Chromium dengan kontribusi dari Google, Facebook, Microsoft, dan lainnya.

Eksploitasi zero-day yang berhasil dapat mengakibatkan eksekusi kode arbitrer pada sistem yang menjalankan versi Chrome yang rentan.

Meskipun Google mengatakan bahwa mereka mengetahui CVE-2021-21193 aktif dieksploitasi, Google tidak membagikan info mengenai serangan yang sedang berlangsung ini.

Hingga informasi lebih lanjut tersedia, pengguna Chrome seharusnya memiliki lebih banyak waktu untuk menerapkan pembaruan keamanan yang diluncurkan dalam beberapa hari mendatang untuk mencegah upaya eksploitasi.

Kurangnya info tambahan juga akan mencegah pelaku ancaman lainnya mengembangkan eksploitasi mereka sendiri yang menargetkan zero-day ini.

Sumber: Bleeping Computer

Google menambal kerentanan zero-day Chrome yang dieksploitasi secara aktif

by

Google telah memperingatkan tentang laporan bahwa kerentanan zero-day di browser Chrome sedang dieksploitasi secara aktif di alam liar.

Kerentanan, dilacak sebagai CVE-2021-21166, dilaporkan oleh Alison Huffman dari tim Riset Kerentanan Browser Microsoft pada 11 Februari dan dijelaskan sebagai “masalah siklus hidup objek dalam audio”.

Google telah memberi label kerentanan tersebut sebagai kelemahan keamanan dengan tingkat keparahan “tinggi” dan telah memperbaiki masalah tersebut dalam rilis Chrome terbaru.

Bersamaan dengan CVE-2021-21166, Huffman juga baru-baru ini melaporkan bug tingkat tinggi lainnya, CVE-2021-21165, masalah gaya hidup objek lain dalam masalah audio, dan CVE-2021-21163, masalah validasi data yang tidak mencukupi dalam Mode Pembaca.

Raksasa teknologi itu belum mengungkapkan rincian lebih lanjut tentang bagaimana CVE-2021-21166 dieksploitasi, atau oleh siapa.

Pengumuman Google, yang diterbitkan pada hari Selasa, juga menandai rilis Chrome 89 ke saluran desktop stabil untuk mesin Windows, Mac, dan Linux, yang saat ini sedang diluncurkan. Pengguna harus meningkatkan ke Chrome 89.0.4389.72 sesegera mungkin.

Sumber: ZDNet

Chrome akan segera mencoba HTTPS terlebih dahulu saat Anda mengetik URL yang tidak lengkap

by

Engineer Google telah menjadi beberapa promotor fitur keamanan browser yang paling gigih selama beberapa tahun terakhir dan, bersama dengan tim di balik browser Firefox dan Tor, sering berada di balik banyak perubahan yang telah membentuk browser menjadi seperti sekarang ini.

Salah satu bidang minat terbesar bagi para engineer Chrome selama beberapa tahun terakhir adalah mendorong dan mempromosikan penggunaan HTTPS, baik di dalam browser mereka, tetapi juga di antara pemilik situs web.

Sebagai bagian dari upaya ini, Chrome sekarang mencoba meningkatkan situs dari HTTP ke HTTPS saat HTTPS tersedia. Chrome juga memperingatkan pengguna saat mereka akan memasukkan sandi atau data kartu pembayaran pada halaman HTTP yang tidak aman.

Dan Chrome juga memblokir unduhan dari sumber HTTP jika URL lamannya HTTPS —untuk menghindari pengguna tertipu sehingga mengira unduhan mereka aman tetapi sebenarnya tidak.

Perubahan terbaru dari HTTPS pertama ini akan tiba di Chrome 90, dan dijadwalkan akan dirilis pada pertengahan April tahun ini.

Perubahan tersebut akan memengaruhi Omnibox Chrome — nama yang digunakan Google untuk mendeskripsikan bilah alamat (URL) Chrome.

Selengkapnya: ZDNet