Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Browser

Browser

Google merilis pembaruan Chrome darurat untuk memperbaiki kerentanan zero-day

by

Google telah merilis Chrome 96.0.4664.110 untuk Windows, Mac, dan Linux, untuk mengatasi kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi di alam liar.

“Google mengetahui laporan bahwa eksploitasi untuk CVE-2021-4102 ada di alam liar,” kata vendor browser dalam penasihat keamanan hari ini.

Meskipun perusahaan mengatakan pembaruan ini mungkin memerlukan beberapa waktu untuk menjangkau semua pengguna, pembaruan telah mulai diluncurkan untuk Chrome 96.0.4664.110 di seluruh dunia di saluran Desktop Stabil.

Bug zero-day yang diperbaiki hari ini, dilacak sebagai CVE-2021-4102, dilaporkan oleh peneliti keamanan anonim dan adalah kelemahan use after free di mesin JavaScript Chrome V8.

Penyerang biasanya mengeksploitasi use after free bug untuk mengeksekusi kode arbitrer pada komputer yang menjalankan versi Chrome yang belum ditambal atau keluar dari sandbox keamanan browser. Sementara Google mengatakan telah mendeteksi serangan liar yang menyalahgunakan zero-day ini, mereka tidak membagikan info tambahan mengenai insiden ini.

Dengan pembaruan ini, Google telah mengatasi 16 kerentanan zero-day Chrome sejak awal tahun.

Karena zero-day ini diketahui telah digunakan oleh penyerang di alam liar, menginstal pembaruan Google Chrome hari ini sangat disarankan kepada pengguna Chrome.

Selengkapnya: Bleeping Computer

Hati-hati Peringatan “Security Certificate is out of date” Palsu

by Leave a Comment

Situs yang diretas mendorong TeamViewer menampilkan peringatan sertifikat kedaluwarsa palsu untuk mengunduh penginstal palsu berbahaya.

Server Windows IIS ter-compromised menambahkan halaman pemberitahuan sertifikat kedaluwarsa.

Layanan Informasi Internet (IIS) adalah perangkat lunak server web Microsoft Windows yang disertakan dengan semua versi Windows sejak Windows 2000, XP, dan Server 2003.

Pesan yang ditampilkan di halaman kesalahan kedaluwarsa sertifikat berbahaya berbunyi: “Mendeteksi potensi risiko keamanan dan tidak memperpanjang transisi ke [nama situs]. Memperbarui sertifikat keamanan memungkinkan koneksi ini berhasil. NET::ERR_CERT_OUT_OF_DATE.”

Contoh Tampilan Server IIS yang Diretas

Seperti yang diamati oleh peneliti keamanan Malwarebytes Threat Intelligence, malware masuk melalui penginstal pembaruan palsu [VirusTotal] yang ditandatangani dengan sertifikat Digicert.

Payload yang dijatuhkan pada sistem yang terinfeksi adalah TVRAT (antara lain TVSPY, TeamSpy, TeamViewerENT, atau Team Viewer RAT), sebuah malware yang dirancang untuk memberi operatornya akses jarak jauh penuh ke host yang terinfeksi.

Setelah disebarkan pada perangkat yang terinfeksi, malware akan diam-diam menginstal dan meluncurkan perangkat lunak kendali jarak jauh TeamViewer.

TeamViewer yang TVRAT Instal

Setelah diluncurkan, server TeamViewer akan menjangkau server perintah-dan-kontrol (C2) untuk memberi tahu penyerang bahwa mereka dapat mengambil kendali penuh dari komputer yang baru disusupi dari jarak jauh.

TVRAT pertama kali muncul pada tahun 2013 ketika dikirimkan melalui kampanye spam sebagai lampiran berbahaya yang menipu target untuk mengaktifkan makro Office.

Status Server IIS Rentan dan Ditargetkan
Untuk sementara metode yang digunakan oleh penyerang untuk mengkompromikan server IIS belum diketahui, penyerang dapat menggunakan berbagai cara untuk menembus server Windows IIS.

Misalnya, mengeksploitasi kode yang menargetkan kerentanan wormable kritis yang ditemukan di HTTP Protocol Stack (HTTP.sys) yang digunakan oleh server web Windows IIS telah tersedia untuk umum sejak Mei.

Microsoft menambal kelemahan keamanan (dilacak sebagai CVE-2021-31166) selama Patch Mei Selasa dan mengatakan itu hanya berdampak pada Windows 10 versi 2004/20H2 dan Windows Server versi 2004/20H2.

Belum ada aktivitas jahat yang menyalahgunakan kelemahan ini sejak patch itu dan, sebagian besar target potensial kemungkinan aman dari serangan mengingat pengguna rumahan dengan versi Windows 10 terbaru akan memperbarui dan perusahaan biasanya tidak menggunakan versi Window Server terbaru.

sumber berita: Bleeping Computer

Jika Anda peduli dengan privasi Anda, Anda perlu mengubah pengaturan browser ini sekarang

by

Privasi sekarang menjadi prioritas di antara pembuat browser, tetapi mereka mungkin tidak melangkah sejauh yang Anda inginkan dalam memerangi pelacak industri iklan yang menyebar di web. Berikut adalah cara untuk meningkatkan pengaturan privasi Anda untuk mengakali pelacakan online itu.

Pengaturan privasi browser Chrome

Di Toko Web Chrome, klik Extension di sebelah kiri dan ketik nama extension yang Anda cari ke dalam bilah pencarian. Setelah Anda menemukan extension yang benar di hasil pencarian, klik Add to Chrome. Dialog akan muncul menjelaskan izin mana yang akan dimiliki extension untuk browser Anda. Klik Add extension untuk membawa extension ke browser Anda.

Berikut adalah empat extension untuk dilihat saat Anda memulai: Cookie Autodelete, uBlock Origin, Privacy Badger and HTTPS Everywhere.

Jika Anda menggunakan Android, maaf: ekstensi tidak berfungsi. Jadi, Anda harus beralih browser ke sesuatu seperti aplikasi DuckDuckGo.

Pengaturan privasi browser Safari

Safari 14, diumumkan pada bulan Juni dan tiba kemudian pada tahun 2020 dengan MacOS Big Sur baru, akan dapat memberi tahu Anda pelacak iklan mana yang berjalan di situs web yang Anda kunjungi dan memberi Anda laporan 30 hari tentang pelacak yang diketahui yang diidentifikasi saat Anda sedang menjelajah. Ini juga akan memberi tahu Anda dari situs web mana pelacak itu berasal.

Untuk memeriksa apakah pemblokiran aktif, buka Safari dan klik Preferences, lalu Privacy. Kotak di samping Prevent cross-site tracking harus dicentang. Saat berada di sana, Anda juga dapat menghapus cookie secara manual.

Pengaturan privasi browser Edge

Browser Microsoft Edge menyertakan beberapa privasi yang disederhanakan dan opsi pemblokiran pelacak pada layar Tracker prevention nya. Di dalam Edge, pilih ikon menu tiga titik di sudut kanan atas dan pilih Settings. Dari menu yang kemudian muncul di sebelah kiri, pilih Privacy and services. Anda akan ditawari tiga pengaturan untuk dipilih: Basic, Balanced and Strict. Pengaturan Strict Edge dapat mengganggu perilaku beberapa situs, tetapi akan memblokir jumlah pelacak terbanyak.

Pengaturan privasi browser Firefox

Dari dalam menu utama Firefox — atau dari dalam menu tiga baris di sisi kanan toolbar — pilih Preferences. Setelah jendela Preferensi terbuka, klik Privacy & Security. Dari sini, Anda dapat memilih di antara tiga opsi: Standard, Strict and Custom.

Untuk menerapkan setelan pelacakan baru setelah Anda memilih tingkat privasi, klik tombol Reload All Tabs yang muncul.

Pengaturan privasi browser Brave

Untuk masalah alat anti-pelacakan, pembaruan privasi terbaru Safari masih kurang dari sebagian besar yang ditemukan di browser Brave. Secara default, Brave memblokir semua iklan, pelacak, cookie pihak ketiga, dan sidik jari sambil tetap mencapai kecepatan yang luar biasa. Brave juga menawarkan mode penjelajahan pribadi Tor bawaan, opsi pemblokiran pelacak tugas berat, dan menambahkan VPN bawaan untuk pengguna iOS.

Di dalam menu utama Brave, pilih Preferences untuk membuka panel Settings di sebelah kiri. Pilih Shields untuk melihat daftar opsi privasi di sisi kanan layar. Dengan memilih tampilan Advanced, Anda dapat memilih jenis pelacak mana yang akan diblokir.

Dengan menggulir ke bawah, Anda juga dapat memblokir tombol masuk dan konten yang disematkan dari Facebook, Twitter, Google, dan LinkedIn. Untuk perlindungan lebih dan penyesuaian privasi yang lebih baik, jelajahi Additional Settings di sebelah kiri, dan pilih Privacy and security.

Selengkapnya: CNET

Firefox mengikuti Chrome dan bersiap untuk memblokir unduhan yang tidak aman

by

Pengembang Mozilla memberikan sentuhan akhir pada fitur baru yang akan memblokir unduhan file yang tidak aman di Firefox.

Disebut pemblokiran unduhan konten campuran, fitur ini bekerja dengan memblokir unduhan file yang dimulai dari halaman HTTPS terenkripsi tetapi yang sebenarnya terjadi melalui saluran HTTP yang tidak terenkripsi.

Gagasan di balik fitur ini adalah untuk mencegah pengguna Firefox agar tidak disesatkan oleh bilah URL dan mengira mereka mengunduh file dengan aman melalui HTTPS ketika, pada kenyataannya, file tersebut dapat dirusak oleh pihak ketiga saat dalam perjalanan.

Feature specifics:

  • Semua file HTTP yang diunduh dari halaman HTTPS akan diblokir dengan pesan di Pusat Unduhan Firefox (CTRL+J).
  • Sebuah opsi akan tersedia untuk memungkinkan pengguna mengizinkan unduhan jika mereka mau.
  • Unduhan file HTTP dari halaman HTTP tidak akan diblokir.
  • Tautan unduhan HTTP yang diakses langsung (disalin di bilah alamat Firefox) tidak akan diblokir.
  • Fitur ini sudah aktif dan diaktifkan di Firefox edisi Beta, Developer, dan Nightly.
  • Berdasarkan entri pelacak bug Firefox saat ini, fitur ini diharapkan akan diaktifkan untuk semua pengguna Firefox di v92, dijadwalkan untuk rilis resmi pada awal September 2021.

Fitur serupa sudah ada di Chrome dan sebagian besar browser berbasis Chromium sejak akhir 2020, telah diluncurkan dalam beberapa tahap dari Chrome v81 hingga v88.

Pengguna Firefox Stable yang ingin mengujinya sekarang dapat membuka halaman pengaturan about:config dan mengaktifkan opsi berikut:

dom.block_download_insecure — set to true

Sumber: The Record

‘Super Duper Secure Mode’ Microsoft untuk Edge Menawarkan kecepatan untuk keamanan yang lebih baik

by

Tim peneliti kerentanan browser Microsoft sedang mengerjakan mode untuk membuat browser Edge lebih aman, dan itu memberinya nama yang luar biasa: “Super Duper Secure Mode” (melalui The Record). Mode saat ini sangat eksperimental, tetapi dapat membantu mempersulit penyerang yang mencoba mengeksploitasi bug di browser Microsoft dengan mematikan pengoptimalan tertentu.

Untuk membuat browser “super duper secure”, mode ini mematikan fitur engine JavaScript Edge yang dimaksudkan untuk membuat kode situs web berjalan lebih cepat. Teknologi ini disebut kompilasi Just-In-Time (atau JIT), dan meskipun dapat membantu meningkatkan kinerja, itu juga sangat rumit. Ini memudahkan bug untuk masuk, yang dapat menyebabkan eksploitasi keamanan — Microsoft menunjuk pada analisis Mozilla yang menunjukkan bahwa lebih dari setengah eksploitasi Chrome dunia nyata sejak 2018 terkait dengan JIT.

Tentu saja, ada kekhawatiran bahwa mematikan teknologi yang dimaksudkan untuk membuat sebagian besar situs web modern berjalan lebih cepat dapat merusak kinerja. Posting blog mencatat bahwa menonaktifkan JIT dapat menyebabkan skor benchmark JavaScript yang jauh lebih rendah, tetapi tim mengatakan bahwa, di dunia nyata, orang biasanya tidak melihat banyak perbedaan.

Mode eksperimental tampaknya masih dalam tahap yang sangat awal — ada hal-hal yang ingin diaktifkan oleh tim tetapi belum, itu tidak berfungsi pada semua platform yang didukung Edge, dan tim mengatakan ada “beberapa tantangan masalah teknis untuk diatasi” sebelum fitur diluncurkan.

Selengkapnya: The Verge

Firefox 90 menambahkan pemblokiran pelacak yang ditingkatkan ke penjelajahan pribadi

by

Mozilla telah memperkenalkan SmartBlock 2.0, versi berikutnya dari teknologi pemblokiran pelacakan lintas situs yang cerdas, dengan merilis Firefox 90.

Mekanisme SmartBlock, diperkenalkan dengan Firefox 87 pada bulan Maret, berfungsi untuk memastikan bahwa fitur Perlindungan Pelacakan dan Mode Ketat tidak akan merusak situs web saat memblokir skrip pelacakan.

Perlakuan yang sama berlaku untuk semua situs tempat Anda ingin masuk dengan akun Facebook Anda: semua skrip yang digunakan oleh Facebook untuk pelacakan diblokir secara otomatis, tetapi skrip login akan diizinkan untuk memuat sehingga proses masuk tetap berfungsi.

Dimulai dengan versi Firefox ini (90), pengguna dapat mengelola pengecualian untuk penegakan mode Khusus HTTPS dengan membuka about:preferences#privacy.

Rilis Firefox hari ini juga menambahkan dukungan untuk pembaruan otomatis latar belakang saat browser web tidak berjalan.

Rilis ini juga mencakup perubahan dan peningkatan berikut:

  • Firefox untuk Windows sekarang menawarkan halaman baru tentang: pihak ketiga untuk membantu mengidentifikasi masalah kompatibilitas yang disebabkan oleh aplikasi pihak ketiga
  • Cetak ke PDF sekarang menghasilkan hyperlink yang berfungsi
  • Item menu “Open Image in New Tab” sekarang membuka gambar dan media di tab latar belakang secara default.
  • Sebagian besar pengguna tanpa WebRender yang dipercepat perangkat keras sekarang akan menggunakan perangkat lunak WebRender.
  • Peningkatan kinerja perangkat lunak WebRender
  • Dukungan FTP telah dihapus

Sumber: Bleeping Computer

Google merilis Chrome 90 dengan HTTPS secara default dan perbaikan keamanan

by

Google baru saja merilis Chrome versi 90, membawa pembaruan privasi yang secara otomatis menambahkan HTTPS ke URL ketika tersedia.

Insinyur Chrome menandai fitur HTTPS pada bulan Februari dan Google telah mengujinya di pratinjau Chrome 90 di saluran Canary dan Beta. Selain itu, Chrome 90 memblokir unduhan dari sumber HTTP jika URL lamannya adalah HTTPS.

Google menjelaskan dalam posting blog bulan lalu bahwa HTTPS default akan membantu saat pengguna mengetik “example.com”, bukan “https://example.com”. Chrome sebelumnya menggunakan http:// sebagai protokol default, tetapi sekarang default ke https://. secara teori hal ini mempercepat pemuatan halaman, karena Chrome terhubung langsung ke HTTPS tanpa perlu dialihkan dari http:// ke https://.

Chrome 90 juga menghadirkan kontrol ‘On / Off’ pertama untuk Kotak Pasir Privasi Google, yang termasuk sebagai bagian dari desainnya, pengganti pengenal FLoC Google yang kontroversial untuk cookie pihak ketiga yang telah dinonaktifkan oleh browser saingan Brave dan Vivaldi.

Selain pembaruan ini, Chrome 90 menyertakan 37 perbaikan keamanan. Peneliti eksternal melaporkan enam masalah dengan tingkat keparahan tinggi, 10 masalah dengan tingkat keparahan sedang, dan tiga masalah dengan tingkat keparahan rendah.

Rilis Chrome ini juga dikirimkan dengan pembuat enkode AV1 dengan dukungan yang lebih baik untuk aplikasi konferensi video WebRTC, seperti Duo, Meet, dan Webex. Google mencatat bahwa AV1 menawarkan kemampuan berbagi layar yang lebih baik daripada VP9 dan codec lainnya. Ini juga memungkinkan video untuk pengguna di jaringan bandwidth rendah, misalnya pada 30kbps dan lebih rendah.

Sumber : ZDnet

Google menghapus ekstensi Chrome ClearURL yang berfokus pada privasi

by

Google secara misterius telah menghapus ClearURL, ekstensi browser populer, dari Toko Web Chrome.

ClearURLs adalah add-on browser yang menjaga privasi yang secara otomatis menghapus elemen pelacakan dari URL. Ini, menurut pengembangnya, dapat membantu melindungi privasi Anda saat menjelajah Internet.

ClearURLs adalah add-on browser web yang tersedia untuk Google Chrome dan Mozilla Firefox yang bertugas menghapus bit pelacakan dari URL.

Banyak situs web memiliki URL yang sangat panjang dengan parameter tambahan yang tidak memiliki nilai fungsional tetapi hanya digunakan untuk tujuan pelacakan.

Menariknya, URL hasil pencarian Google juga menggunakannya.

Saat mengklik hasil pencarian gambar, misalnya, Google tidak langsung mengirim Anda ke URL asli halaman webnya, melainkan URL perantara yang mengarahkan Anda.

Bleeping Computer memberi contoh:
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bleepingcomputer.com%2F&psig=AXXXXXYAWa
&ust=1616XXXXXXX&source=images&cd=vfe&ved=0CXXXXe-p3XXX

Parameter tambahan pada URL di atas (ved, cd, dll.) Hanya melacak bit dan perujuk yang digunakan untuk analitik.

ClearURLs dirancang untuk menyaring parameter pelacakan tersebut dari URL dan meningkatkan privasi online pengguna.

Namun, pengguna melihat ClearURL menghilang dari Toko Web Chrome dengan lamannya menampilkan pesan kesalahan 404 (tidak ditemukan).

Pengembang mengajukan banding ke Google agar tidak memblokir ekstensi dan mendapat respon dari Google.

Dalam salinan email yang dibagikan oleh pengembang, Google mengklaim bahwa deskripsi ekstensi “terlalu mendetail” dan melanggar aturan Toko Web Chrome.

Selengkapnya: Bleeping Computer