普京网址 1

Mozilla 扩展社区经理 Caitlin 普京网址:Neiman,但有许多 Chrome 扩展程序被劫持的案例

而双因素身份验证(2FA)通过在登录过程中增加其他步骤来证明用户的真实身份,能够为帐户增加一层安全保护。Mozilla
决定强制扩展开发人员启用 2FA,以此防止可能会发生的供应链攻击。

原标题:Mozilla 将要求所有扩展开发者启用双因素认证 来源:开源中国Mozilla
本周宣布,所有 Firefox
扩展开发人员都必须为其帐户启用双因素身份验证(2FA)。“从 2020
年初开始,扩展开发人员将需要在 AMO(addons.mozilla.org)上启用 2FA,”
Mozilla 扩展社区经理 Caitlin Neiman
在官方博客这样写道。“这是为了防止恶意攻击者控制合法的扩展及其用户。”发生这种情况时,黑客可以使用开发人员的帐户向
Firefox
用户发送受感染的扩展更新。攻击者还可以使用受感染的扩展来窃取密码、身份验证/会话cookie,监视用户的浏览习惯,或将用户重定向到网络钓鱼页面或恶意软件下载站点等等。这些类型的事件通常称为供应链攻击。发生这种情况时,最终用户无法检测到扩展更新是否是恶意的,尤其是当受感染的更新来自官方
Mozilla AMO——所有 Firefox
用户都认为是安全的来源时。而双因素身份验证(2FA)通过在登录过程中增加其他步骤来证明用户的真实身份,能够为帐户增加一层安全保护。Mozilla
决定强制扩展开发人员启用
2FA,以此防止可能会发生的供应链攻击。尽管近年来没有针对 Firefox 扩展的
AMO 帐户被劫持的案例,但有许多 Chrome 扩展程序被劫持的案例。Chrome
扩展程序的开发人员经常受到网络钓鱼电子邮件的攻击,黑客试图通过这些电子邮件来尝试访问其
Chrome 网络应用商店的帐户。通常,这类攻击主要针对 Chrome
扩展程序开发人员,因为 Chrome 浏览器的市场占有率为 65%-70%。仅占 10%
的 Firefox 对攻击者的吸引力相对较小。但是,Mozilla
足够警惕,采取了先发制人的行为。Mozilla
告知,用户可以按照 support.mozilla.org
中的说明,在新规则生效之前为自己的帐户启用双因素身份验证(2FA)。消息来源:

Mozilla 证实了最糟糕的后果

在 FreeBuf
昨天的报道《芯片级安全漏洞后续》中,谷歌发布的研究成果中并没有提供具体的攻击方法,但很多阅读了学术研究报告的安全专家表示,基于网络的攻击形态是完全可能的。也就是说,并非是在本地执行恶意代码。

谷歌成果公开的几个小时之后
Mozilla证实了这种猜测,Meltdown和Spectre漏洞都可以远程利用!只需要通过网站页面的JavaScript文件就可以实施攻击。

我们的内部实验已经证实了,这种攻击可以使用web方式读取不同来源的私人信息”

接下来,Mozilla 计划在明年分两阶段计划停止支持此功能。第一次将发生在
2020 年 2 月份发行 Firefox73 的时候进行,到 2020 年 3 月,随着 Firefox74
的发布,Mozilla 计划完全取消侧面加载扩展的功能。到那时,Mozilla
希望所有侧载扩展都将在用户的“加载项”部分中移动。通过此举,Mozilla
还希望帮助清理一些 Firefox
安装,恶意软件作者正在秘密地将这些扩展隐藏在用户的背后。

Mozilla 的 Firefox
浏览器用户不需要担心这种攻击,因为它没有多输入框自动填充系统,并且强制用户手动在每个输入框内选择预填充数据。

Mozilla
告知,用户可以按照 support.mozilla.org
中的说明,在新规则生效之前为自己的帐户启用双因素身份验证(2FA)。

Google Chrome 64 版本将在1月23日发布

Mozilla已经部署了修补程序,但 Chrome 还没有发布具备防范功能的新版本。

有趣的是,Google团队才是最早发现了这两个漏洞的一方。按照谷歌的说法,Chrome浏览器将在1月23日发布缓解措施,以防止在
Chrome 64中 发生Meltdown和Spectre 恶意攻击。而在此之前,Google
建议用户启用它在 Chrome 63中发布的新安全功能,称为严格站点隔离。

其他厂商,包括微软,也发布了补丁。建议所有用户尽快更新到 Firefox
57,并在发布后尽快更新到 Chrome 64 版本。

本次漏洞利用的Web攻击会是 最危险 的,因为这种形态下攻击会非常容易实施。

攻击者可以诱导用户访问存在恶意JavaScript的站点,并利用 JavaScript
通过网站广告感染大量用户;攻击者还可以干脆侵入网站并实施下载攻击,而用户无法发现这个合法网站已经遭受入侵。

截止目前,尚未明确苹果如何修复Safari浏览器。

来自:FreeBuf.COM

据 zdnet 报道,Mozilla
宣布计划停止支持 Firefox
中的侧载扩展。从明年开始,Firefox
用户将无法通过将 XPI 扩展文件放在用户 Firefox
目录内的特殊文件夹中来安装扩展。该方法称为侧载,最初是为了帮助桌面应用程序的开发人员而创建的。如果想在桌面应用程序分发
Firefox 扩展,开发人员可以配置该应用程序的安装程序,以将 Firefox XPI
扩展文件放入 Firefox 浏览器的文件夹中。

普京网址 1

通常,这类攻击主要针对 Chrome 扩展程序开发人员,因为 Chrome
浏览器的市场占有率为 65%-70%。仅占 10% 的 Firefox
对攻击者的吸引力相对较小。但是,Mozilla 足够警惕,采取了先发制人的行为。

普京网址 2

稿源:cnbeta

大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google
Chrome
等主流浏览器提供了“自动填充”功能,它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。以后遇见同样问题,它将自动填充。

尽管近年来没有针对 Firefox 扩展的 AMO 帐户被劫持的案例,但有许多 Chrome
扩展程序被劫持的案例。Chrome
扩展程序的开发人员经常受到网络钓鱼电子邮件的攻击,黑客试图通过这些电子邮件来尝试访问其
Chrome 网络应用商店的帐户。

谷歌表示,这两个漏洞可以被利用来窃取当前在计算机上进行处理的数据,其中包括存储在密码管理器或浏览器中的密码,个人照片,电子邮件,即时消息,甚至是商业信息,和其他关键文件。

Mozilla 附加组件社区经理 Caitlin Neiman
表示:“侧载扩展经常给用户带来问题,因为他们没有明确选择安装它们,也无法从附加组件管理器中删除它们。”他还称,“过去也曾采用这种机制将恶意软件安装到
Firefox 中。”

“从 2020 年初开始,扩展开发人员将需要在
AMO(addons.mozilla.org)上启用
2FA,” Mozilla 扩展社区经理 Caitlin Neiman
在官方博客这样写道。“这是为了防止恶意攻击者控制合法的扩展及其用户。”

Mozilla已经正式确认,最近披露的 Meltdown和Spectre CPU漏洞 —— 可能通过
Web
站点内容(比如JavaScript文件)进行漏洞利用,也就是说,用户可能因为访问某个网页而被提取信息。

Firefox 扩展开发人员在早期就可以使用此方法,现在 Mozilla
出于安全风险的考虑,宣布计划停止支持侧面加载的扩展。

如何关闭自动填充功能

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章