(资料图片仅供参考)
PANews 1月13日消息,安全公司Imperva在博文中表示,一个名为CVE-2022-3656的漏洞影响了超过25亿Google Chrome和基于Chromium引擎的浏览器的用户。此漏洞允许窃取敏感文件,例如加密钱包和云提供商文件。而Opera和Edge浏览器均是基于Chrome的开源版本Chromium。
该漏洞是通过检查浏览器与文件系统的交互方式发现的。具体来说,浏览器没有正确检查符号链接是否指向一个不可访问的位置,从而导致敏感文件被盗。这个问题通常被称为符号链接跟随(symbolic link following)。Imperva团队随后设计了一个攻击场景,在该场景中,攻击者可能会使用加密网络钓鱼站点来战略性地获取对用户敏感文件的访问权限。
在向谷歌披露该漏洞后,Imperva团队发现Chrome 107中引入的第一个修复程序并未完全解决该问题。该团队将此事通知了谷歌,该问题在Chrome 108中得到了彻底解决。重要的是始终软件保持最新状态,以防止出现最新的漏洞并确保用户个人和财务信息安全。此外,他们还指出了使用硬件钱包存储加密货币的重要性,因为它不易受到黑客攻击。