GoogleChrome和其他基于Chromium的浏览器(在新标签页中打开)已被发现具有高严重性漏洞,允许威胁行为者窃取人们的敏感文件,包括他们的加密货币钱包的内容和登录凭据。
Imperva的网络安全专家发现,基于Chrome和Chromium的浏览器(约有25亿人使用)与文件系统交互的方式存在缺陷。更准确地说,浏览器处理符号链接的方式。
研究人员解释说,符号链接或共生链接是指向另一个文件或目录的文件。它们允许操作系统处理链接的文件或目录,就好像它位于符号链接的位置一样。“这对于创建快捷方式、重定向文件路径或以更灵活的方式组织文件很有用,”研究人员在博客文章中解释道(在新标签页中打开).
但如果这些文件处理不当,它们可能会引入漏洞,研究人员发现浏览器没有正确检查符号链接是否指向设计为不可访问的位置。
研究人员描述了一个潜在的攻击场景,称威胁行为者可以创建一个假的加密货币钱包和一个网站,要求用户下载他们的恢复密钥。下载的文件实际上是用户计算机上敏感文件或文件夹的符号链接。该文件可能是云提供商的登录凭据,或类似的东西。最糟糕的是,受害者会完全忘记他们的敏感数据已被泄露的事实。
更重要的是,该策略也不会过于极端,研究人员表示,声称“许多加密钱包和其他在线服务”要求用户下载恢复密钥以访问他们的帐户。
“在上述攻击场景中,攻击者会利用这种常见做法,向用户提供包含符号链接而不是实际恢复密钥的zip文件。”
该漏洞现在被跟踪为CVE-2022-3656-文件系统缺陷中的数据验证不足。谷歌已经解决了这个问题并发布了Chrome108作为修复,所以在下载任何恢复密钥之前确保你运行的是这个版本的浏览器。