Этот недостаток безопасности Google Chrome может затронуть миллиарды пользователей
вычисления techradar.com Новости

Этот недостаток безопасности Google Chrome может затронуть миллиарды пользователей

13 января 2023 г.

В Google Chrome и других браузерах на основе Chromium обнаружена уязвимость высокой степени опасности, которая позволял злоумышленникам красть конфиденциальные файлы людей, в том числе содержимое их криптовалютных кошельков и учетные данные для входа в систему.

Эксперты по кибербезопасности из Imperva обнаружили, что браузеры Chrome и Chromium (используемые примерно 2,5 миллиардами человек) взаимодействие с файловыми системами было ошибочным. Точнее, как браузеры обрабатывают символические ссылки.

Символические ссылки или симбиотические ссылки — это файлы, указывающие на другой файл или каталог, объясняют исследователи. Они позволяют ОС обрабатывать связанный файл или каталог, как если бы он находился в месте символической ссылки. «Это может быть полезно для создания ярлыков, перенаправления путей к файлам или более гибкой организации файлов», — объяснили исследователи в запись в блоге.

Возможные сценарии атаки

Но если эти файлы не обрабатываются должным образом, они могут создавать уязвимости, и исследователи обнаружили, что браузер неправильно проверял, указывает ли символическая ссылка на недоступное место.

Описывая потенциальный сценарий атаки, исследователи заявили, что злоумышленник может создать поддельный криптовалютный кошелек и веб-сайт, который будет запрашивать у пользователей загрузку ключей восстановления. Загруженный файл на самом деле будет символической ссылкой на конфиденциальный файл или папку на компьютере пользователя. Этот файл может быть учетными данными для входа в облачный провайдер или что-то подобное. Хуже всего то, что жертва совершенно не заметит, что ее конфиденциальные данные были скомпрометированы.

Подробнее

> Ошибка Google Chrome может позволить мошенническим веб-сайтам портить буфер обмена< /strong>

> Загадочная ошибка вызывает внезапный сбой расширений Google Chrome

> Защитите себя с помощью лучших решений для защиты от кражи идентификационных данных< /strong>

Более того, эта стратегия не будет слишком экстремальной, говорят исследователи, утверждая, что «многие криптовалютные кошельки и другие онлайн-сервисы» требуют, чтобы пользователи загружали ключи восстановления для доступа к своим учетным записям.

«В описанном выше сценарии атаки злоумышленник воспользуется этой распространенной практикой, предоставив пользователю zip-файл, содержащий символическую ссылку, вместо реальных ключей восстановления».

Уязвимость теперь отслеживается как CVE-2022-3656 — недостаточная проверка данных в файловой системе. С тех пор Google решил эту проблему и выпустил Chrome 108 в качестве исправления, поэтому убедитесь, что вы используете эту версию браузера, прежде чем загружать какие-либо ключи восстановления.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE

COPYRIGHT 2020 COFFEE-WEB.RU