Уязвимость Chromium, отслеживаемая как CVE-2022-3656, обнаруженная специалистами по кибербезопасности компании Imperva в июле 2022 года, была исправлена разработчиками Google исправленная в сентябре, но сейчас она может затрагивать 2,5 миллиарда пользователей, если они не обновят свои браузеры.
Соответствующее предупреждение опубликовал эксперт по кибербезопасности компании Imperva Рона Масас, который в среду рассказал в своем блоге подробнее об указанной выше уязвимости (более известной как SymStealer).
Специалист отметил, что уязвимость позволяет украсть конфиденциальные файлы, включая криптокошельки и учетные данные облачных провайдеров, используя то, как браузер на движке Chromium обрабатывают символические ссылки (симлинки).
«Символические ссылки могут быть полезны для создания ярлыков, перенаправления путей к файлам или более гибкой организации файлов. Однако они также могут формировать уязвимости, если с ними не обращаться должным образом. В случае уязвимости, о которой мы сообщили ранее корпорации Google, проблема возникла из-за того, как браузер взаимодействовал с символическими ссылками при обработке файлов и каталогов», — отметил Рон Масас.
Иными словами, из-за этой уязвимости браузер Chrome неправильно проверял, направляет ли символическая ссылка пользователей в место, которое не должно было быть доступным, что, в свою очередь, позволяло злоумышленникам украсть конфиденциальные файлы.
«Мы уведомили об этом Google, и проблема была полностью решена в Chrome 108. Важно всегда поддерживать свое программное обеспечение в актуальном состоянии, чтобы защититься от последних уязвимостей и обеспечить безопасность вашей личной и финансовой информации», — резюмировал Рон Масас.
SymStealer — это одна из нескольких серьезных уязвимостей Chrome, обнаруженных за последние месяцы. В сентябре 2022 года разработчик Джефф Джонсон выявил уязвимость, которая позволяла веб-страницам заменять содержимое системного буфера обмена без согласия или взаимодействия с пользователем.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.
