研究发现谷歌Chrome和其他基于Chromium的浏览器存在一个高严重性漏洞,允许威胁窃取用户的敏感文件,包括加密货币钱包的内容和登录凭证。
Imperva公司的网络安全专家发现,Chrome和基于Chromium的浏览器(约有25亿人使用)与文件系统交互的方式存在缺陷。 更具体地说,浏览器处理符号链接的方式存在缺陷。
据研究人员称,共生链接是指指向另一个文件或目录的文件。 它们允许操作系统处理被链接的文件或目录,就好像该文件或目录位于符号链接的位置一样。 这对于创建快捷方式、重定向文件路径或以更灵活的方式组织文件非常有用。博客条目.
免费的加速器手机版不用手机号
但如果这些文件处理不当,就会带来漏洞。研究人员发现,浏览器没有正确检查符号链接是否指向设计为不可访问的位置。
研究人员在描述可能的攻击场景时说,威胁者可以创建一个虚假的加密货币钱包和一个要求用户下载恢复密钥的网站。 下载的文件实际上是一个指向用户计算机上敏感文件或文件夹的符号链接。 该文件可能是云提供商的登录凭证或类似文件。 更糟糕的是,受害者完全不知道他们的敏感数据已被泄露。
更多趣味阅读
研究人员称,"许多加密货币钱包和其他在线服务 "都要求用户下载恢复密钥以访问其账户。
在上述攻击场景中,攻击者会利用这种常见的做法,向用户提供一个包含符号链接的zip文件,而不是真正的恢复密钥。
该漏洞现在被追踪为CVE-2022-3656,是文件系统中数据验证不足的漏洞。 谷歌已经修复了该问题,并发布了Chrome 108作为修复程序,因此在下载任何恢复密钥之前,请确保您运行的是该版本的浏览器。
