关键点:
- Imperva Red Team 的网络安全研究人员发布了最近发现并修复的漏洞的详细信息,该漏洞影响了超过 2.5 亿 Google Chrome 和所有基于 Chromium 的浏览器用户。
- 该漏洞编号为 CVE-2022-3656,使远程攻击者能够获取私人用户信息,包括云服务提供商的登录凭据和数字钱包信息。
- Imperva 的研究人员将该漏洞识别为 SymStealer。当攻击者使用文件系统访问未经授权的文件并绕过软件限制时,就会出现问题。
来自 Imperva 红队的网络专家 发现 Google Chrome 和其他基于 Chromium 的网络浏览器容易受到恶意漏洞的攻击。
Imperva 的网络安全专家 发现 一个问题是如何大致 2.5 亿 Chrome 和基于 Chromium 的浏览器用户 与文件系统交互,更具体地说,浏览器如何处理符号链接。
该漏洞允许黑客窃取敏感的用户文件,例如登录凭据和加密货币钱包代码。该漏洞是由于 Chromium 浏览器的故障造成的 符号链接 处理。
根据 Imperva的, 符号链接 (也称为 符号链接)是从 Web 浏览器指向其他文件(称为目录)的文件。
研究人员在博客文章中解释说:“这对于创建快捷方式、重定向文件路径或以更灵活的方式组织文件很有用。”
这使得 Chromium 可以将连接的文件或目录视为属于文件地址本身。
研究人员发现,浏览器无法正确检查符号链接是否指向不可访问的位置,这意味着如果这些文件处理不当,它们可能会存在漏洞。
威胁行为者可以构建一个虚假的加密货币钱包和一个网站,要求用户获取恢复密钥以发起攻击。下载的文件中将包含指向用户计算机上的私人文件或文件夹的真正符号链接。有可能 该文件包含云提供商登录信息或任何类似信息。
专家发现, Chromium浏览器无法确定符号链接导航到的文件的地址是否允许访问。最坏的情况是 受害者完全不知道他们的私人信息已被黑客入侵。
该漏洞的跟踪代码为 CVE-2022-3656。此问题已通过以下方式修复: 谷歌 ,在 Chrome 108 更新。
免责声明: 本网站上的信息作为一般市场评论提供,不构成投资建议。 我们鼓励您在投资前进行自己的研究。
加入我们以跟踪新闻: https://linktr.ee/coincu
哈罗德
钱库 新闻
作者
新闻
谷歌浏览器检测到安全漏洞可能导致加密钱包被盗
关键点:
- Imperva Red Team 的网络安全研究人员发布了最近发现并修复的漏洞的详细信息,该漏洞影响了超过 2.5 亿 Google Chrome 和所有基于 Chromium 的浏览器用户。
- 该漏洞编号为 CVE-2022-3656,使远程攻击者能够获取私人用户信息,包括云服务提供商的登录凭据和数字钱包信息。
- Imperva 的研究人员将该漏洞识别为 SymStealer。当攻击者使用文件系统访问未经授权的文件并绕过软件限制时,就会出现问题。
来自 Imperva 红队的网络专家 发现 Google Chrome 和其他基于 Chromium 的网络浏览器容易受到恶意漏洞的攻击。
Imperva 的网络安全专家 发现 一个问题是如何大致 2.5 亿 Chrome 和基于 Chromium 的浏览器用户 与文件系统交互,更具体地说,浏览器如何处理符号链接。
该漏洞允许黑客窃取敏感的用户文件,例如登录凭据和加密货币钱包代码。该漏洞是由于 Chromium 浏览器的故障造成的 符号链接 处理。
根据 Imperva的, 符号链接 (也称为 符号链接)是从 Web 浏览器指向其他文件(称为目录)的文件。
研究人员在博客文章中解释说:“这对于创建快捷方式、重定向文件路径或以更灵活的方式组织文件很有用。”
这使得 Chromium 可以将连接的文件或目录视为属于文件地址本身。
研究人员发现,浏览器无法正确检查符号链接是否指向不可访问的位置,这意味着如果这些文件处理不当,它们可能会存在漏洞。
威胁行为者可以构建一个虚假的加密货币钱包和一个网站,要求用户获取恢复密钥以发起攻击。下载的文件中将包含指向用户计算机上的私人文件或文件夹的真正符号链接。有可能 该文件包含云提供商登录信息或任何类似信息。
专家发现, Chromium浏览器无法确定符号链接导航到的文件的地址是否允许访问。最坏的情况是 受害者完全不知道他们的私人信息已被黑客入侵。
该漏洞的跟踪代码为 CVE-2022-3656。此问题已通过以下方式修复: 谷歌 ,在 Chrome 108 更新。
免责声明: 本网站上的信息作为一般市场评论提供,不构成投资建议。 我们鼓励您在投资前进行自己的研究。
加入我们以跟踪新闻: https://linktr.ee/coincu
哈罗德
钱库 新闻
