Odaily星球日報訊安全公司Imperva在博客中表示,一個名為CVE-2022-3656的漏洞允許竊取加密錢包等敏感文件,例如加密錢包和雲提供商文件,而Opera和Edge瀏覽器均是基於Chrome的開源版本Chromium。據悉,該漏洞影響了超過25億Google Chrome和基於Chromium引擎的瀏覽器的用戶。該漏洞是通過檢查瀏覽器與文件系統的交互方式發現的。具體來說,瀏覽器沒有正確檢查符號鏈接是否指向一個不可訪問的位置,從而導致敏感文件被盜。這個問題通常被稱為符號鏈接跟隨(symbolic link following)。 Imperva團隊隨後設計了一個攻擊場景,在該場景中,攻擊者可能會使用加密網絡釣魚站點來戰略性地獲取對用戶敏感文件的訪問權限。在向谷歌披露該漏洞後,Imperva團隊發現Chrome 107中引入的第一個修復程序並未完全解決該問題。該團隊將此事通知了谷歌,該問題在Chrome 108中得到了徹底解決。重要的是始終軟件保持最新狀態,以防止出現最新的漏洞並確保用戶個人和財務信息安全。此外,他們還指出了使用硬件錢包存儲加密貨幣的重要性,因為它不易受到黑客攻擊。
dark