网络安全公司Imperva Red最近几天披露了Chrome/Chromium浏览器存在的漏洞细节,并警告全球超过25亿用户的数据正面临安全威胁。
该公司表示,这个跟踪号为CVE—2022—3656的漏洞可以窃取敏感数据,包括加密钱包和云提供商凭据本站了解到,它在博文中写道:这个漏洞是通过检查浏览器与文件系统的交互方式发现的,特别是寻找与浏览器处理符号链接的方式相关的常见漏洞
Imperva Red将符号链接定义为指向另一个文件或目录的文件类型它允许操作系统将链接的文件或目录视为位于符号链接中Imperva Red表示符号链接可用于创建快捷方式,重定向文件路径或以更灵活的方式组织文件
就谷歌Chrome而言,问题源于浏览器在处理文件和目录时与符号链接的交互方式具体来说,浏览器不会正确检查符号链接是否指向非预期的位置,从而允许窃取敏感文件
在解释该漏洞如何影响谷歌浏览器时,该公司表示,攻击者可以创建一个虚假网站,提供一种新的加密钱包服务然后,该网站可以通过要求用户下载恢复密钥来欺骗用户创建新的钱包
博文写道:这些密钥实际上是一个zip文件,其中包含指向用户电脑上的云提供商证书等敏感文件或文件夹的符号链接当用户解压缩并将恢复密钥上传回网站时,攻击者将获得敏感文件的访问权限
Imperva Red表示,已将该漏洞告知谷歌,该问题已在Chrome 108中得到彻底解决建议用户始终保持软件最新,以防止此类漏洞
