谷歌開始通知 Chrome 用戶禁用第三方 cookies

近日，谷歌正在測試 Chrome 瀏覽器的一項新功能。該功能可在已安裝的擴展程序從 Chrome 網上商城刪除時向用戶發出惡意軟件提示警告。

Google正在采取措施禁止在Google Play中使用“跟蹤器軟件”，以及可能在政治影響力活動中使用的應用程序。具體來說，從10月21日開始，Google將禁止“冒充任何個人或組織，或者歪曲或隱瞞其所有權或主要目的”的應用或開發者帳戶。自從2016年總統大選以來，社交媒體平臺就經常對假賬戶進行打擊。在2020年大選之前，研究人員已將這類運動標記為對民主進程最大的網絡威脅之一。Google Play的這一舉動與跟蹤軟件一樣，是之前對Google廣告政策所做的更改。

在實施相關安全方案時，需要對過程中的挑戰與合作達成共識。元數據和身份標準共識：行業需要就解決這些復雜問題的基本原則達成共識。OpenSSF最近宣布的安全記分卡項目旨在以全自動方式生成這些數據點。這一更改由軟件所有者直接控制。目前，由于準確性還達不到要求，無法做好通知，但隨著漏洞準確性和元數據的提高，我們還應推動通知。

高額獎金等你來拿~

10月16日至17日，“天府杯”2021國際網絡安全大賽暨2021天府國際網絡安全高峰論壇將在成都天府國際會議中心舉行。一場世界頂級網絡安全技術碰撞和思想盛宴即將拉開帷幕。賽事獎金創新高 150萬美金搭建網安人才交流平臺 本次“天府杯”國際網絡安全大賽將總獎金額提升至150萬美元，并面向所有安全從業人員公開征集參賽選手與參賽項目。

威脅參與者可能利用Google Drive中的bug來分發偽裝成合法文檔或圖像的惡意文件。 使得不良行為者進行魚叉式網絡釣魚攻擊的成功率較高。 問題出在Google Drive中實現的“ 管理版本”功能中，該功能允許用戶上載和管理文...

本月初曝光的谷歌Chrome zero day漏洞已被積極利用，但現已修復。“我們認為這些襲擊具有高度的針對性”。在黎巴嫩發現的感染序列始于攻擊者破壞一家新聞機構員工使用的網站，該網站用于從演員控制的域注入惡意JavaScript代碼，該域負責將潛在受害者重定向到攻擊服務器。Avast評估了收集的信息，以確保漏洞僅被交付給預期目標。

谷歌已迅速從其Android生態系統中屏蔽并刪除了所有Lipizzan應用程序和開發者，谷歌Play Protect已通知所有受影響的受害者。安裝后，Lipizzan會自動下載第二階段，這是一種“許可證驗證”，用于調查受感染的設備，以確保設備無法檢測到第二階段。在完成驗證后，第二階段的惡意軟件將使用已知的安卓漏洞根除受感染的設備。

法院批準了一項臨時限制令，允許谷歌關閉Cryptbot運營商的互聯網基礎設施。谷歌還能夠關閉任何相關的硬件或虛擬機并暫停服務、保存和移交用于識別CryptBot操作員的材料、采取措施確保該基礎設施離線等。

本期關鍵基礎設施安全資訊周報共收錄安全資訊31篇。點擊文章，快速閱讀最新資訊。