舊版Google瀏覽器的一個漏洞可能會讓駭客竊取加密錢包等敏感檔案

舊版Google瀏覽器的一個漏洞可能會讓駭客竊取加密錢包等敏感檔案

ADVERTISEMENT

 

安全公司Imperva在部落格文章中表示,一個名為CVE-2022-3656的漏洞影響了超過25億Google Chrome和基於Chromium引擎的瀏覽器的使用者。此漏洞允許竊取敏感檔案,例如加密錢包和雲端提供商的檔案。而Opera和Edge瀏覽器均是基於Chrome的開源版本Chromium。 

該漏洞是透過檢查瀏覽器與檔案系統的對話模式發現的。具體來說,瀏覽器沒有正確檢查符號連結是否指向一個不可造訪的位置,進而導致敏感檔案被盜。這個問題通常被稱為符號連結跟隨(symbolic link following)。Imperva團隊隨後設計了一個攻擊場景,在該場景中,攻擊者可能會使用加密網路釣魚網站來戰略性地獲取對使用者敏感檔案的存取權限。 

在向Google披露該漏洞後,Imperva團隊發現Chrome 107中引入的第一個修復程式並未完全解決該問題。該團隊將此事通知了Google,該問題在Chrome 108中得到了徹底解決。重要的是讓瀏覽器始終保持最新狀態,以防止出現最新的漏洞並確保使用者個人和財務資訊安全。此外,他們還指出了使用硬體錢包存儲加密貨幣的重要性,因為它不易受到駭客攻擊。

Odaily
作者

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則