Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser / Chrome

Chrome

Google Chrome tidak lagi mendukung beberapa prosesor lama

by

Tim pengembang Chromium mengumumkan melalui dokumen kebijakan> bahwa dukungan akan dihentikan untuk CPU x86 lama yang tidak memenuhi minimal dukungan SSE3 (Supplemental Streaming SIMD Extensions 3), mulai dari Chrome 89.

Dampak yang diharapkan pada penggunaan Chrome diperkirakan sangat kecil, mengingat perangkat yang terpengaruh sebagian besar akan menjalankan prosesor pra-Intel Core 2 Duo. Karena sebagian besar prosesor pasca-2005 sudah mendukung SSE3, perangkat keras harus berusia di atas 15 tahun agar dapat terpengaruh oleh perubahan ini.

Windows akan menjadi satu-satunya sistem operasi yang terpengaruh oleh pengumuman ini karena Mac, Android, dan Chrome OS semuanya memerlukan dukungan SSE3 untuk beroperasi. Kemungkinan besar Microsoft Edge juga akan terpengaruh oleh penurunan dukungan ini, mengingat browser ini berbasis Chromium.

Dimulai dari Chrome 89, perangkat apa pun yang tidak memenuhi persyaratan CPU minimum yang baru tidak akan lagi mencoba memasang Chrome, dan menjalankan perangkat lunak itu sendiri akan mengakibatkan crash.

Perangkat apa pun yang akan terpengaruh oleh perubahan ini akan mulai menerima peringatan dari Chrome 87 yang memberi tahu pengguna bahwa dukungan untuk perangkat keras mereka akan segera berakhir.

Sumber: Tech Radar

Pengguna Chrome menghadapi 3 masalah keamanan selama 24 jam terakhir

by

Pengguna browser Google Chrome telah menghadapi tiga masalah keamanan selama 24 jam terakhir dalam bentuk ekstensi jahat dengan lebih dari 2 juta pengguna, zero-day yang baru saja diperbaiki, dan informasi baru tentang bagaimana malware dapat menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall.

Pertama, Great Suspender, sebuah ekstensi dengan lebih dari 2 juta unduhan dari Toko Web Chrome, telah ditarik dari server Google dan dihapus dari komputer pengguna.

Seperti yang dilaporkan di utas GitHub pada bulan November, pengembang ekstensi asli menjual Great Suspender pada Juni lalu, dan mulai menunjukkan tanda-tanda kejahatab di bawah kepemilikan baru. Secara khusus, kata utas, versi baru berisi kode berbahaya yang melacak pengguna dan memanipulasi permintaan Web.

Selanjutnya, Google pada hari Kamis merilis pembaruan Chrome yang memperbaiki kerentanan zero-day. Dilacak sebagai CVE-2021-21148, kerentanan ini berasal dari bug buffer overflow di V8, mesin JavaScript open source Google. Google menetapkan tingkat keparahannya sebagai “tinggi”.

Namun, dalam sebuah posting yang diterbitkan oleh firma keamanan Tenable, para peneliti mencatat bahwa kerentanan itu dilaporkan ke Google pada 24 Januari, satu hari sebelum kelompok analisis ancaman Google mengeluarkan laporan bahwa peretas yang disponsori oleh negara-bangsa menggunakan situs web jahat untuk menginfeksi peneliti keamanan dengan malware.

Terakhir, seorang peneliti keamanan melaporkan pada hari Kamis bahwa peretas menggunakan malware yang menyalahgunakan fitur sinkronisasi Chrome untuk melewati firewall sehingga malware dapat terhubung ke server perintah dan kontrol.

Sinkronisasi memungkinkan pengguna untuk berbagi bookmark, tab browser, ekstensi, dan sandi di berbagai perangkat yang menjalankan Chrome.

Seorang juru bicara Google mengatakan bahwa pengembang tidak akan mengubah fitur sinkronisasi karena serangan lokal secara fisik (artinya serangan yang melibatkan penyerang yang memiliki akses ke komputer) secara eksplisit berada di luar model ancaman Chrome.

Sumber: Ars Technica

Google menerapkan mitigasi Chrome terhadap serangan Slipstreaming NAT baru

by

Google telah memblokir delapan port tambahan di dalam browser web Chrome untuk mencegah variasi baru dari serangan bernama NAT Slipstreaming, para insinyur perusahaan mengumumkan hari ini.

Serangan Slipstreaming NAT asli pertama kali diungkapkan pada 31 Oktober 2020 oleh Samy Kamkar, seorang peneliti keamanan terkenal.

Serangan itu bekerja dengan memikat pengguna di situs web jahat di mana kode JavaScript akan membuat sambungan ke perangkat korban secara langsung, melewati pertahanan yang disediakan oleh firewall dan tabel terjemahan alamat jaringan (NAT).

Penyerang dapat menyalahgunakan koneksi ini ke sistem pengguna untuk meluncurkan serangan pada perangkat yang terletak di jaringan internal korban.

Versi awal serangan NAT Slipstreaming menyalahgunakan protokol Session Initiation Protocol (SIP) untuk membuat sambungan lubang jarum ini ke perangkat di jaringan internal melalui port 5060 dan 5061.

Dua minggu setelah serangan tersebut diketahui publik, Google menanggapi penemuan Kamkar dengan memblokir dua porta di Chrome 87 ini untuk mencegah penyerang menyalahgunakan teknik ini, yang oleh pembuat browser dianggap sebagai ancaman yang parah dan mudah disalahgunakan.

Apple dan Mozilla juga mengirimkan blok serupa di dalam Safari dan Firefox beberapa minggu kemudian.

selengkapnya : ZDNET

Gunakan ItsMyData untuk menghentikan situs e-niaga menyalahgunakan data berharga Anda

by

Ekstensi Google Chrome ItsMyData memungkinkan Anda untuk secara otomatis memilih tidak mengizinkan toko online untuk menjual data Anda

Alih-alih merangkul hak konsumen, banyak toko online mempersulit pengguna untuk memilih keluar dengan menyembunyikan tautan penyisihan dan membuat hambatan buatan. Sekarang memilih keluar bisa dengan mudah dengan alat baru ini dari ItsMyData.

Ekstensi Google Chrome ItsMyData memungkinkan Anda untuk secara otomatis memilih tidak mengizinkan toko online untuk menjual data Anda.

Tujuan startup berbasis NJ adalah untuk melindungi konsumen dari perilaku pengecer online yang mengumpulkan dan bertransaksi dengan datanya sehingga merugikan konsumen.

selengkapnya : ZDNET

Google melarang CA berperilaku buruk lainnya dari Chrome

by

Google melarang dan menghapus dukungan dari Chrome untuk sertifikat digital yang dikeluarkan oleh Spanish Certificate Authority (CA) Camerfirma, pembuat browser mengumumkan minggu ini.

Larangan tersebut akan mulai berlaku dengan peluncuran Chrome 90, yang dijadwalkan rilis pada pertengahan April 2021.

Setelah peluncuran Chrome 90, semua situs web yang menggunakan sertifikat TLS yang dikeluarkan oleh Camerfirma untuk mengamankan lalu lintas HTTPS mereka akan menampilkan kesalahan dan tidak akan dimuat di Chrome di masa mendatang.

Keputusan untuk melarang sertifikat Camerfirma diumumkan pada hari Senin setelah perusahaan diberi waktu lebih dari enam minggu untuk menjelaskan serangkaian 26 insiden terkait dengan proses penerbitan sertifikatnya.

Selama bertahun-tahun, pembuat browser sering bersatu untuk mengeluarkan otoritas sertifikat yang tidak mengikuti aturan ini. CA lain yang telah dilarang dari Chrome di masa lalu termasuk Symantec, DigiNotar, dan WoSign dan anak perusahaannya, StartCom.

Hal ini menyebabkan perusahaan seperti DigiNotar mengajukan kebangkrutan dan Symantec menjual bisnis CA-nya ke DigiCert setelah sertifikat mereka menjadi paria di dalam browser modern.

selengkapnya : ZDNET

Google: Fitur perlindungan sandi baru ini akan hadir di Chrome

by

Setelah merilis Chrome 88 minggu ini, Google telah mengumumkan sejumlah fitur perlindungan kata sandi baru yang akan mulai diluncurkan ke Chrome 88 dalam beberapa minggu mendatang.

Chrome 88 menyertakan fitur baru untuk dengan cepat memeriksa kata sandi yang lemah atau disusupi dan memulihkan masalahnya. Setelah mengklik avatar profil, sekarang ada ikon kunci yang dapat diklik untuk mulai memeriksa kata sandi yang lemah.

Juga di Chrome 88, pengguna dapat mengelola dan mengedit semua kata sandi di Pengaturan Chrome di desktop dan iOS. Google berencana untuk segera menghadirkan fitur ini ke aplikasi Android Chrome.

Fitur ini dimaksudkan untuk mempermudah memperbarui kata sandi yang disimpan di tempat sentral, dibandingkan dengan hanya mengandalkan permintaan Chrome untuk memperbarui kata sandi tunggal saat masuk ke situs web.

Chrome 88, yang dirilis awal minggu ini, adalah versi pertama Chrome dalam beberapa tahun yang tidak menyertakan Adobe Flash Player dalam browsernya. Flash mencapai akhir masa pakainya pada akhir tahun 2020, jadi Mozilla, Google, Apple dan Microsoft juga telah menghilangkan dukungan untuk Flash di browser masing-masing.

Sumber: ZDNet

Google Chrome 88 dirilis tanpa adanya dukungan untuk Flash

by

Google telah merilis Chrome 88 hari ini, secara permanen menghapus dukungan untuk Adobe Flash Player.

Flash mencapai akhir masa pakai (EOL) resminya pada tanggal 31 Desember 2020, ketika Adobe secara resmi berhenti mendukung perangkat lunak tersebut. Pada 12 Januari, Adobe juga mulai memblokir konten agar tidak diputar di dalam Flash, sebagai bagian dari langkah terakhir.

Berbicara pada konferensi pada Februari 2018, Parisa Tabriz, Direktur Teknik di Google, mengatakan persentase pengguna Chrome harian yang memuat setidaknya satu halaman yang berisi konten Flash per hari turun dari sekitar 80% pada tahun 2014 menjadi di bawah 8% pada awal 2018, angka yang kemungkinan besar terus anjlok sejak itu.

Namun rilis Chrome 88 hari ini juga dilengkapi dengan fitur, penghentian, perbaikan bug, dan patch keamanan lainnya. Salah satu perubahan terpenting adalah penghapusan dukungan untuk mengakses tautan FTP (ftp://) di dalam Chrome, sebuah proses yang dimulai kembali di Chrome 86.

Di Chrome 88, Google juga telah menyelesaikan rencana yang dimulai tahun lalu. Datang bersama dengan rilis hari ini, Chrome sekarang memblokir unduhan file HTTP tertentu.

Kasus di mana Chrome akan menghentikan unduhan termasuk ketika pengguna mengakses laman web yang dimulai dengan HTTPS, tetapi file diunduh dari URL yang dimulai dengan HTTP. Chrome menganggap kasus ini sebagai unduhan “campuran” dan “tidak aman”, dan dimulai dari Chrome 88 akan memblokir sepenuhnya untuk perlindungan pengguna.

Sumber: ZDNet

Selain itu, Chrome 88 juga telah menghapus dukungan untuk protokol DTLS 1.0 lama, yang digunakan di dalam Chrome sebagai bagian dari dukungan WebRTC-nya.

Sumber: ZDNet

Bug di Firefox, Chrome, Edge Memungkinkan Pembajakan Sistem Jarak Jauh

by

Pembuat browser Chrome, Firefox, dan Edge mendesak pengguna untuk menambal kerentanan kritis yang jika dieksploitasi memungkinkan peretas untuk membajak sistem yang menjalankan perangkat lunak tersebut.

Kerentanan Mozilla Firefox (CVE-2020-16044) terpisah dari bug yang dilaporkan di mesin browser Google Chromium, yang digunakan di browser Google Chrome dan browser Edge versi terbaru Microsoft.

Pada hari Kamis, Cybersecurity and Infrastructure Security Agency (CISA) mendesak pengguna browser Firefox Mozilla Foundation untuk menambal bug, dilacak sebagai CVE-2020-16044, dan dinilai sebagai kritis. Kerentanan tersebut diklasifikasikan sebagai bug use-after-free dan terkait dengan cara Firefox menangani cookie browser dan jika dieksploitasi memungkinkan peretas untuk mendapatkan akses ke komputer, ponsel, atau tablet yang menjalankan perangkat lunak browser.

Yang terkena dampak adalah versi browser Firefox yang dirilis sebelum Firefox desktop 84.0.2 yang baru-baru ini dirilis, edisi Firefox Android 84.1.3, dan juga versi Firefox ESR 78.6.1 perusahaan Mozilla.

Bug Browser Chromium Berdampak pada Chrome dan Edge

Juga pada hari Kamis, CISA mendesak pengguna Windows, macOS, dan Linux dari browser Chrome Google untuk menambal bug penulisan di luar batas (CVE-2020-15995) yang memengaruhi versi 87.0.4280.141 saat ini. Peringatan CISA-bug menyatakan bahwa pembaruan ke versi terbaru browser Chrome akan “mengatasi kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh”.

Karena browser Edge terbaru Microsoft didasarkan pada mesin browser Google Chromium, Microsoft juga mendesak penggunanya untuk memperbarui ke versi 87.0.664.75 terbaru dari browser Edge-nya.

sumber : Threatpost