IT之家 1 月 15 日消息,網(wǎng)安全公司 Imperva Red 近日披露了存于 Chrome / Chromium 瀏覽器上的漏洞細節(jié)并警告稱全超過 25 億用戶的數(shù)面臨安全威。該公司表,這個追蹤號為 CVE-2022-3656 的漏洞可以竊包括加密錢、云提供商證等敏感數(shù)。IT之家了解到,在其文中寫道:該漏洞是通審查瀏覽器文件系統(tǒng)交的方式發(fā)現(xiàn),特別是尋與瀏覽器處符號鏈接的式相關(guān)的常漏洞”。Imperva Red 將符號鏈接(symlink)定義為一種向另一個文或目錄的文類型。它允操作系統(tǒng)將接的文件或錄視為位于號鏈接的位。Imperva Red 表示符號鏈接可用于創(chuàng)快捷方式、定向文件路或以更靈活方式組織文。在 Google Chrome 的案例中,問源于瀏覽器處理文件和錄時與符號接交互的方。具體來說瀏覽器沒有確檢查符號接是否指向個不打算訪的位置,這許竊取敏感件。該公司解釋該漏洞何影響谷歌覽器時表示攻擊者可以建一個提供加密錢包服的虛假網(wǎng)站然后,該網(wǎng)可以通過要用戶下載“復(fù)”密鑰來騙用戶創(chuàng)建錢包。博文寫道:“這密鑰實際上一個 zip 文件,其中包含指向用計算機上云供商憑證等感文件或文夾的符號鏈。當用戶解縮并將‘恢’密鑰上傳網(wǎng)站后,攻者將獲得對感文件的訪權(quán)限”。Imperva Red 表示,它已將該洞通知谷歌該問題已在 Chrome 108 中得到徹底解。建議用戶終保持其軟處于最新狀,以防范此漏洞?