1 月 15 日消息，網絡安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 瀏覽器上的漏洞細節，并警告稱全球超過 25 億用戶的數據面臨安全威脅。

該公司表示，這個追蹤編號為 CVE-2022-3656 的漏洞可以竊取包括加密錢包、云提供商憑證等敏感數據。了解到，在其博文中寫道：“該漏洞是通過審查瀏覽器與文件系統交互的方式發現的，特別是尋找與瀏覽器處理符號鏈接的方式相關的常見漏洞”。

Imperva Red 將符號鏈接（symlink）定義為一種指向另一個文件或目錄的文件類型。它允許操作系統將鏈接的文件或目錄視為位于符號鏈接的位置。Imperva Red 表示符號鏈接可用于創建快捷方式、重定向文件路徑或以更靈活的方式組織文件。

在 Google Chrome 的案例中，問題源于瀏覽器在處理文件和目錄時與符號鏈接交互的方式。具體來說，瀏覽器沒有正確檢查符號鏈接是否指向一個不打算訪問的位置，這允許竊取敏感文件。

該公司在解釋該漏洞如何影響谷歌瀏覽器時表示，攻擊者可以創建一個提供新加密錢包服務的虛假網站。然后，該網站可以通過要求用戶下載“恢復”密鑰來誘騙用戶創建新錢包。

博文中寫道：“這些密鑰實際上是一個 zip 文件，其中包含指向用戶計算機上云提供商憑證等敏感文件或文件夾的符號鏈接。當用戶解壓縮并將‘恢復’密鑰上傳回網站后，攻擊者將獲得對敏感文件的訪問權限”。

Imperva Red 表示，它已將該漏洞通知谷歌，該問題已在 Chrome 108 中得到徹底解決。建議用戶始終保持其軟件處于最新狀態，以防范此類漏洞。

總結

以上是生活随笔為你收集整理的108 版已修复，安全公司披露可窃取用户敏感信息的谷歌 Chrome 浏览器高危漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。