安全公司披露可竊取用戶敏感信息的谷歌 Chrome 瀏覽器高危漏洞

win7之家 1 月 15 日消息，網(wǎng)絡(luò)安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 瀏覽器上的漏洞細(xì)節(jié)，并警告稱全球超過 25 億用戶的數(shù)據(jù)面臨安全威脅。

該公司表示，這個追蹤編號為 CVE-2022-3656 的漏洞可以竊取包括加密錢包、云提供商憑證等敏感數(shù)據(jù)。IT之家了解到，在其博文中寫道：“該漏洞是通過審查瀏覽器與文件系統(tǒng)交互的方式發(fā)現(xiàn)的，特別是尋找與瀏覽器處理符號鏈接的方式相關(guān)的常見漏洞”。

Imperva Red 將符號鏈接(symlink)定義為一種指向另一個文件或目錄的文件類型。它允許操作系統(tǒng)將鏈接的文件或目錄視為位于符號鏈接的位置。Imperva Red 表示符號鏈接可用于創(chuàng)建快捷方式、重定向文件路徑或以更靈活的方式組織文件。

在 Google Chrome 的案例中，問題源于瀏覽器在處理文件和目錄時與符號鏈接交互的方式。具體來說，瀏覽器沒有正確檢查符號鏈接是否指向一個不打算訪問的位置，這允許竊取敏感文件。

該公司在解釋該漏洞如何影響谷歌瀏覽器時表示，攻擊者可以創(chuàng)建一個提供新加密錢包服務(wù)的虛假網(wǎng)站。然后，該網(wǎng)站可以通過要求用戶下載“恢復(fù)”密鑰來誘騙用戶創(chuàng)建新錢包。

博文中寫道：“這些密鑰實際上是一個 zip 文件，其中包含指向用戶計算機(jī)上云提供商憑證等敏感文件或文件夾的符號鏈接。當(dāng)用戶解壓縮并將‘恢復(fù)’密鑰上傳回網(wǎng)站后，攻擊者將獲得對敏感文件的訪問權(quán)限”。

Imperva Red 表示，它已將該漏洞通知谷歌，該問題已在 Chrome 108 中得到徹底解決。建議用戶始終保持其軟件處于最新狀態(tài)，以防范此類漏洞