×

Google Chrome позволяет украсть криптовалюту через символическую ссылку

Google Chrome позволяет украсть криптовалюту через символическую ссылку

Используя симлинк, можно незаметно проникнуть в файловую систему жертвы.

Аналитики компании Imperva, раскрыли подробности об исправленной уязвимости в Google Chrome и в браузерах на базе Chromium, которая открывала доступ к конфиденциальным данным.

Проблема возникла из-за того, как браузер взаимодействовал с символическими ссылками при обработке файлов и каталогов. В частности, браузер не проверил должным образом, указывает ли символическая ссылка на место, которое не должно было быть доступным, что позволило украсть конфиденциальные файлы.

Уязвимость CVE-2022-3656 была описана Google как уязвимость недостаточной проверки данных в файловой системе. Ошибка была исправлена в версиях Google Chrome 107 и 108.

Недостаток, получивший название SymStealer, является уязвимостью символической ссылки, которая возникает, когда злоумышленник создает символическую ссылку на конфиденциальные файлы, чтобы обойти ограничения файловой системы для работы с неавторизованными файлами.

Согласно анализу Imperva, когда пользователь напрямую перетаскивал папку на элемент ввода файла, браузер рекурсивно разрешал все символические ссылки без каких-либо предупреждений. В гипотетической атаке киберпреступник мог обманом заставить жертву посетить поддельный сайт и загрузить ZIP-архив, содержащий символическую ссылку на ценный файл или папку на компьютере, например ключи криптокошелька и учетные данные.

Когда этот же файл симлинка загружается обратно на веб-сайт (например, платформа криптокошелька предлагает пользователю загрузить свои ключи восстановления) уязвимость позволяет с помощью симлинка получить доступ к фактическому файлу, содержащему ключевую фразу.

Иранские хакеры взломали сайт французского сатирического издания Charlie Hebdo и украли данные 200 тыс. подписчиков

Информация, полученная хакерами, может подвести подписчиков издания к атакам в интернете и в реальной жизни.

На Бермудских островах произошло массовое отключение электричества

Жители остались без интернета и сотовой связи, но власти попросили их не мусорить на дорогах.

Национальной комиссии по этике в ИИ просит отрегулировать использование генеративных моделей в образовательных целях

Этическую проблему связанна с тем, что невозможно отличить текст, созданный ИИ, от текста, созданного человеком.