Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Google

Google

Google: Fitur perlindungan sandi baru ini akan hadir di Chrome

by

Setelah merilis Chrome 88 minggu ini, Google telah mengumumkan sejumlah fitur perlindungan kata sandi baru yang akan mulai diluncurkan ke Chrome 88 dalam beberapa minggu mendatang.

Chrome 88 menyertakan fitur baru untuk dengan cepat memeriksa kata sandi yang lemah atau disusupi dan memulihkan masalahnya. Setelah mengklik avatar profil, sekarang ada ikon kunci yang dapat diklik untuk mulai memeriksa kata sandi yang lemah.

Juga di Chrome 88, pengguna dapat mengelola dan mengedit semua kata sandi di Pengaturan Chrome di desktop dan iOS. Google berencana untuk segera menghadirkan fitur ini ke aplikasi Android Chrome.

Fitur ini dimaksudkan untuk mempermudah memperbarui kata sandi yang disimpan di tempat sentral, dibandingkan dengan hanya mengandalkan permintaan Chrome untuk memperbarui kata sandi tunggal saat masuk ke situs web.

Chrome 88, yang dirilis awal minggu ini, adalah versi pertama Chrome dalam beberapa tahun yang tidak menyertakan Adobe Flash Player dalam browsernya. Flash mencapai akhir masa pakainya pada akhir tahun 2020, jadi Mozilla, Google, Apple dan Microsoft juga telah menghilangkan dukungan untuk Flash di browser masing-masing.

Sumber: ZDNet

Google Chrome 88 dirilis tanpa adanya dukungan untuk Flash

by

Google telah merilis Chrome 88 hari ini, secara permanen menghapus dukungan untuk Adobe Flash Player.

Flash mencapai akhir masa pakai (EOL) resminya pada tanggal 31 Desember 2020, ketika Adobe secara resmi berhenti mendukung perangkat lunak tersebut. Pada 12 Januari, Adobe juga mulai memblokir konten agar tidak diputar di dalam Flash, sebagai bagian dari langkah terakhir.

Berbicara pada konferensi pada Februari 2018, Parisa Tabriz, Direktur Teknik di Google, mengatakan persentase pengguna Chrome harian yang memuat setidaknya satu halaman yang berisi konten Flash per hari turun dari sekitar 80% pada tahun 2014 menjadi di bawah 8% pada awal 2018, angka yang kemungkinan besar terus anjlok sejak itu.

Namun rilis Chrome 88 hari ini juga dilengkapi dengan fitur, penghentian, perbaikan bug, dan patch keamanan lainnya. Salah satu perubahan terpenting adalah penghapusan dukungan untuk mengakses tautan FTP (ftp://) di dalam Chrome, sebuah proses yang dimulai kembali di Chrome 86.

Di Chrome 88, Google juga telah menyelesaikan rencana yang dimulai tahun lalu. Datang bersama dengan rilis hari ini, Chrome sekarang memblokir unduhan file HTTP tertentu.

Kasus di mana Chrome akan menghentikan unduhan termasuk ketika pengguna mengakses laman web yang dimulai dengan HTTPS, tetapi file diunduh dari URL yang dimulai dengan HTTP. Chrome menganggap kasus ini sebagai unduhan “campuran” dan “tidak aman”, dan dimulai dari Chrome 88 akan memblokir sepenuhnya untuk perlindungan pengguna.

Sumber: ZDNet

Selain itu, Chrome 88 juga telah menghapus dukungan untuk protokol DTLS 1.0 lama, yang digunakan di dalam Chrome sebagai bagian dari dukungan WebRTC-nya.

Sumber: ZDNet

Lebih dari 10 juta pengguna memasang aplikasi Android yang menampilkan iklan di luar konteks

by

Google telah menghapus 164 aplikasi Android dari Play Store resmi setelah peneliti keamanan menangkap aplikasi yang membombardir pengguna dengan iklan di luar konteks tahun lalu.

Iklan di luar konteks, atau iklan di luar aplikasi, adalah istilah teknis yang relatif baru yang mengacu pada iklan seluler yang ditampilkan di dalam popup atau di seluruh layar, terpisah dari aplikasi asli.

Sebagian besar dari 164 aplikasi ini meniru aplikasi yang lebih populer, menyalin fungsionalitas dan nama dari aplikasi yang lebih terkenal untuk mendapatkan unduhan cepat.

Secara total, White Ops mengatakan aplikasi mencapai tujuan mereka dan diunduh lebih dari 10 juta kali sebelum ditemukan dan dilaporkan ke tim keamanan Google.

Daftar lengkap dari 164 aplikasi Android tersebut dapat dilihat melalui laporan White Ops.

Menurut aturan Google Play Store, aplikasi telah dihapus dari toko dan dinonaktifkan di perangkat pengguna, tetapi pengguna masih perlu menghapusnya secara manual dari ponsel mereka.

Sumber: ZDNet

Google mengungkapkan operasi peretasan Windows dan Android yang canggih

by

Sumber: Google Project Zero

Google telah menerbitkan laporan enam bagian yang merinci operasi peretasan canggih yang terdeteksi oleh perusahaan tersebut pada awal 2020 dan yang menargetkan pemilik perangkat Android dan Windows.

Serangan itu dilakukan melalui dua server exploit yang memberikan rantai eksploitasi yang berbeda melalui serangan watering hole, kata Google.

“Satu server menargetkan pengguna Windows, yang lainnya menargetkan Android,” Project Zero, salah satu tim keamanan Google, mengatakan dalam posting pertama dari enam posting blog.

Google mengatakan bahwa kedua server exploit menggunakan kerentanan Google Chrome untuk mendapatkan pijakan awal pada perangkat korban. Setelah titik masuk awal dibuat di browser pengguna, penyerang menyebarkan exploit tingkat OS untuk mendapatkan kontrol lebih besar atas perangkat korban.

Rantai eksploitasi mencakup kombinasi kerentanan zero-day dan n-day.

Empat zero-day, yang semuanya ditambal pada musim semi 2020, adalah sebagai berikut:

  • CVE-2020-6418 – Kerentanan Chrome di TurboFan (diperbaiki pada Februari 2020)
  • CVE-2020-0938 – Kerentanan Font di Windows (diperbaiki pada April 2020)
  • CVE-2020-1020 – Kerentanan Font di Windows (diperbaiki pada April 2020)
  • CVE-2020-1027 – Kerentanan CSRSS Windows (diperbaiki pada April 2020)

“Rantai eksploitasi ini dibuat dengan baik, kode yang kompleks dengan berbagai metode eksploitasi baru, logging yang matang, teknik pasca-eksploitasi yang canggih dan diperhitungkan, serta pemeriksaan anti-analisis dan penargetan dalam jumlah besar,” kata Google.

Sumber: ZDNet

Serangan side-channel baru dapat memulihkan kunci enkripsi dari kunci keamanan Google Titan

by

Duo peneliti keamanan Prancis telah menemukan kerentanan yang memengaruhi chip yang digunakan di dalam Google Titan dan kunci keamanan perangkat keras YubiKey.

Kerentanan memungkinkan pelaku ancaman untuk memulihkan kunci enkripsi utama yang digunakan oleh kunci keamanan perangkat keras untuk menghasilkan token kriptografi untuk operasi otentikasi dua faktor (2FA).

Setelah diperoleh, kedua peneliti keamanan tersebut mengatakan bahwa kunci enkripsi, kunci privat ECDSA, akan memungkinkan pelaku ancaman untuk mengkloning Titan, YubiKey, dan kunci lainnya untuk melewati prosedur 2FA.

Dalam laporan PDF 60 halaman, Victor Lomne dan Thomas Roche, peneliti NinjaLab yang berbasis di Montpellier, menjelaskan seluk-beluk serangan tersebut, yang juga dilacak sebagai CVE-2021-3011.

Untuk mengeksploitasi kunci keamanan Google Titan atau Yubico, penyerang harus terlebih dahulu mendapatkan kunci keamanan tersebut.

Biasanya, jenis serangan ini berada di luar jangkauan peretas biasa, tetapi peneliti keamanan memperingatkan bahwa pelaku ancaman tertentu, seperti badan intelijen tiga huruf, biasanya memiliki kemampuan untuk melakukan ini.

Mengenai tipe apa saja yang rentan, para peneliti mengatakan mereka menguji serangan mereka pada chip NXP A7005a, yang saat ini digunakan untuk model kunci keamanan berikut:

  • Kunci Keamanan Google Titan (semua versi)
  • Yubico Yubikey Neo
  • Feitian FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21
  • Feitian FIDO NFC USB-C / K40

Sumber: ZDNet

Google open-source Atheris, alat untuk menemukan bug keamanan dalam kode Python

by

Pakar keamanan Google telah merilis utilitas fuzzing otomatis open-source lainnya dengan harapan pengembang akan menggunakannya untuk menemukan bug keamanan dan menambal kerentanan sebelum dieksploitasi.

Dinamakan Atheris, proyek ini adalah fuzzer klasik.

Fuzzer (atau alat fuzzing) dan teknik fuzzing bekerja dengan memberi data acak dalam jumlah besar ke aplikasi perangkat lunak dan menganalisis output nya untuk mengetahui ketidaknormalan dan kerusakan, yang memberi petunjuk kepada pengembang tentang keberadaan dan lokasi kemungkinan bug dalam kode aplikasi.

Selama bertahun-tahun, peneliti keamanan Google telah menjadi promotor terbesar dalam menggunakan alat fuzzing untuk menemukan tidak hanya bug biasa, tetapi juga kerentanan berbahaya yang dapat dieksploitasi oleh penyerang.

Atheris adalah jawaban Google atas meningkatnya popularitas bahasa pemrograman Python, yang saat ini menduduki peringkat ke-3 dalam indeks TIOBE bulan lalu. Google telah membuat kode Atheris menjadi open source di GitHub, dan fuzzer juga tersedia di PyPI, repositori paket Python.

Sumber: ZDNet

Software Patches Update

by

Operating System for Desktop
Microsoft:

Microsoft Patch Tuesday January 2025
Microsoft Patch Tuesday February 2025
Microsoft Patch Tuesday March 2025
Microsoft Patch Tuesday April 2025

Apple:

Security Update macOS Sequoia 15.2
Security Update macOS Sonoma 14.7.2
Security Update macOS Ventura 13.7.2

Operating System for Mobile
Google (Android):

Security Update Android February 1, 2025
Security Update Android February 5, 2025
Security Update Android March 2025
Security Update Android April 2025

Apple (iOS and iPadOS):

Security Update iOS 18.2 and iPadOS 18.2
Security Update iPadOS 17.7.3

Browser
Google Chrome:

Security Update Chrome 132.0.6834.159/160 (Desktop)
Security Update Chrome 133.0.6943.33 (iOS)
Security Update Chrome 133.0.6943.39 (Android)

Mozilla Firefox:

Security Update Thunderbird 134
Security Update Thunderbird ESR 128.6
Security Update Firefox ESR 115.19
Security Update Firefox ESR 128.6
Security Update Firefox 134

Software Application
Adobe:

Adobe Security Bulletins

VMware:

VMSA-2022-0001
VMSA-2022-0004
VMSA-2022-0005

NVIDIA:

NVIDIA Driver Downloads

8% dari semua aplikasi Google Play rentan terhadap bug keamanan lama

by

Sekitar 8% aplikasi Android yang tersedia di Google Play Store resmi rentan terhadap cacat keamanan di library Android populer, menurut pemindaian yang dilakukan musim gugur ini oleh perusahaan keamanan Check Point.

Cacat keamanan ada di versi lama Play Core, library Java yang disediakan oleh Google yang dapat disematkan oleh pengembang di dalam aplikasi mereka untuk berinteraksi dengan portal resmi Play Store.

Library Play Core sangat populer karena dapat digunakan oleh pengembang aplikasi untuk mengunduh dan menginstal pembaruan yang dihosting di Play Store, modul, paket bahasa, atau bahkan aplikasi lain.

Awal tahun ini, peneliti keamanan dari Oversecured menemukan kerentanan utama (CVE-2020-8913) di library Play Core yang dapat disalahgunakan oleh aplikasi berbahaya yang diinstal pada perangkat pengguna untuk memasukkan kode jahat ke dalam aplikasi lain dan mencuri data sensitif – seperti kata sandi, foto, kode 2FA, dan lainnya.

Google menambal bug di Play Core 1.7.2, dirilis pada bulan Maret, tetapi menurut temuan baru oleh Check Point, tidak semua pengembang telah memperbarui library Play Core yang disertakan dengan aplikasi mereka, membuat penggunanya mudah terkena serangan pencurian data dari aplikasi jahat yang dipasang di perangkat mereka.

Sumber: checkpoint

Menurut pemindaian yang dilakukan oleh Check Point pada bulan September, enam bulan setelah patch Play Core tersedia, 13% dari semua aplikasi Play Store masih menggunakan library ini, tetapi hanya 5% yang menggunakan versi yang diperbarui (aman), dengan sisanya membiarkan pengguna terkena serangan.

Di antara aplikasi dengan basis pengguna terbesar yang gagal diperbarui, Check Point mencantumkan aplikasi seperti Microsoft Edge, Grindr, OKCupid, Cisco Teams, Viber, dan Booking.com.

Sumber: ZDNet