(相關資料圖)
1 月 15 日消息,網絡安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 瀏覽器上的漏洞細節,并警告稱全球超過 25 億用戶的數據面臨安全威脅。
該公司表示,這個追蹤編號為 CVE-2022-3656 的漏洞可以竊取包括加密錢包、云提供商憑證等敏感數據。在其博文中寫道:“該漏洞是通過審查瀏覽器與文件系統交互的方式發現的,特別是尋找與瀏覽器處理符號鏈接的方式相關的常見漏洞”。
Imperva Red 將符號鏈接(symlink)定義為一種指向另一個文件或目錄的文件類型。它允許操作系統將鏈接的文件或目錄視為位于符號鏈接的位置。Imperva Red 表示符號鏈接可用于創建快捷方式、重定向文件路徑或以更靈活的方式組織文件。
在 Google Chrome 的案例中,問題源于瀏覽器在處理文件和目錄時與符號鏈接交互的方式。具體來說,瀏覽器沒有正確檢查符號鏈接是否指向一個不打算訪問的位置,這允許竊取敏感文件。
該公司在解釋該漏洞如何影響谷歌瀏覽器時表示,攻擊者可以創建一個提供新加密錢包服務的虛假網站。然后,該網站可以通過要求用戶下載“恢復”密鑰來誘騙用戶創建新錢包。
博文中寫道:“這些密鑰實際上是一個 zip 文件,其中包含指向用戶計算機上云提供商憑證等敏感文件或文件夾的符號鏈接。當用戶解壓縮并將‘恢復’密鑰上傳回網站后,攻擊者將獲得對敏感文件的訪問權限”。
Imperva Red 表示,它已將該漏洞通知谷歌,該問題已在 Chrome 108 中得到徹底解決。建議用戶始終保持其軟件處于最新狀態,以防范此類漏洞。
- 微軟谷歌Chrom瀏覽器108版:修復Chromium可竊取用戶敏感信息BUG
- 愛奇藝不只限制投屏:電視HDMI連線播放都禁止
- 全球微速訊:火絨終端安全管理系統V2.0發布Linux控制中心
- B站大會員促銷:12個月年卡到手價98元
- 世界最新:微軟殺軟Defender新bug:會誤刪開始菜單/任務欄捷方式
- 環球觀點:115網盤永久VIP最后一天:5PB超大存儲空間
- 微軟壁紙探索世界0116-麥切納山和結冰的亞伯拉罕湖(Lake Abraham)
- 微軟推進Edge圓角改造工程:所有視圖會改為圓角設計
- 本次微信更新內容僅九個字,你怎么看? 今日熱文
- 開源裝機工具Ventoy 1.0.88發布:修復了Win11檢測相關的錯誤_當前看點
