SquareX 推出“浏览器漏洞年”（YOBB）以揭露关键安全盲点

美国帕洛阿尔托，2025 年 3 月 18 日/CyberNewsWire/--浏览器检测和响应 (BDR) 领域的先驱 SquareX 今天宣布启动“浏览器漏洞年”(YOBB) 项目，这是一项为期一年的计划，旨在引起人们对浏览器缺乏安全性研究和严谨性的关注，而浏览器仍然是研究最少的攻击媒介之一。

浏览器已从一个简单的 Web 渲染引擎发展成为新的“端点”——用户通过它与互联网互动，进行工作、休闲和交易的主要网关。然而，尽管浏览器原生攻击呈指数级增长，但传统安全解决方案仍将重点放在端点和网络上。

YOBB 项目的灵感来自于“漏洞月”（MOB），这是一项标志性的网络安全计划，安全研究人员将在每月的每一天发布在主要软件提供商中发现的一个重大漏洞。

MOB 项目在提高这些公司对安全和负责任披露的重视程度方面发挥了巨大作用。值得注意的项目包括浏览器漏洞月（2006 年 7 月）、内核漏洞月（2006 年 11 月）和 Apple 漏洞月（2007 年 1 月）。

SquareX 借助 YOBB 恢复了这一传统，以提高人们对浏览器易受网络威胁的认识。然而，与 HD Moore 最初的“浏览器漏洞月”不同，后者侧重于浏览器本身的软件漏洞，而 SquareX 将披露可通过浏览器访问的任何网站、应用程序或云数据存储进行的应用层攻击。

在整个 2025 年，SquareX 的研究团队将作为 YOBB 项目的一部分每月披露至少一次严重的网络攻击，重点关注利用浏览器和现有解决方案的架构限制的漏洞。

这项研究将揭示前所未见的攻击媒介，甚至网络安全界也对此一无所知。每次披露都将包括攻击视频演示、技术故障和缓解策略。这些披露将完全由 SquareX 研究和发现，而不是现有安全研究的汇总。

在 YOBB 计划下，SquareX 自 2024 年以来以及 2025 年前两个月已经发布了多项重大更新：

2025

• 一月： SquareX 披露“浏览器同步劫持”——一种可全面控制浏览器和设备的新型攻击技术，使数百万人面临风险
• 二月： SquareX 推出多态扩展，可将信息窃取程序变身为任何浏览器扩展程序 – 密码管理器、钱包面临风险

2024

• 八月： SquareX 发现安全网关中的严重缺陷
• 十二月： Cyberhaven 的 OAuth 身份攻击 — 您的扩展程序是否受到影响？

引用维韦克·拉玛钱德兰SquareX 创始人兼首席执行官表示：“随着浏览器成为新的终端，攻击者越来越多地将员工作为目标，入侵组织并窃取数据，就像 Cyberhaven 事件一样。不幸的是，除了主流媒体的关注之外，供应商几乎没有从安全角度采取措施来防止未来发生类似的攻击。YOBB 是我们试图引起人们对呈指数级增长的攻击面的关注。我们希望这将成为浏览器和安全供应商采取行动的号召，以解决这些漏洞，这些漏洞会导致应用层攻击，而这些漏洞根本无法通过浏览器补丁来解决。”

随着时间的推移，安全团队可以预期每月披露的信息将记录在https://sqrx.com/research 。

关于SquareX

广场X业界首创的浏览器检测和响应 (BDR) 可帮助组织实时检测、缓解和搜寻针对员工的客户端 Web 攻击。这包括防御身份攻击、恶意扩展、鱼叉式网络钓鱼、浏览器数据丢失和内部威胁。

SquareX 采用以研究和攻击为中心的方法来保障浏览器安全。SquareX 的专业研究团队率先发现并披露了多项关键攻击，包括最后一英里重组攻击、多态扩展和浏览器同步劫持。

作为“浏览器漏洞之年”（YOBB）项目的一部分，SquareX 承诺每月继续披露至少一个重大的浏览器架构漏洞。

要了解有关 SquareX 的 BDR 的更多信息，用户可以联系founder@sqrx.com . 有关浏览器漏洞年披露内容的新闻咨询，用户可以联系junice@sqrx.com 。

接触

公关主管

刘君妮

广场X

junice@sqrx.com