- Статус
- Вне сети
- Регистрация
- 24 Фев 2021
- Сообщения
- 1.104
- Реакции
- 0
- Автор темы
- #1
Уязвимость была обнаружена в ходе исследования того, как браузер взаимодействует с файловой системой, в частности, при поиске распространенных уязвимостей, связанных с тем, как браузеры обрабатывают символические ссылки. Символическая ссылка (symlink) - это тип файла, который указывает на другой файл или каталог, позволяя операционной системе обрабатывать связанный файл или каталог так, как если бы он находился в расположении символической ссылки. Это может быть полезно для создания ярлыков, перенаправления путей к файлам или более гибкой организации файлов.
Однако символические ссылки также могут создавать уязвимости, если с ними не обращаться должным образом. В случае уязвимости CVE-2022-3656 браузер должным образом не проверил, указывала ли символическая ссылка на местоположение, которое не предназначалось для доступа, что позволило украсть конфиденциальные файлы.
Хакер мог создать поддельный веб-сайт, предлагающий, например, услугу криптовалютного кошелька. И во время создания кошелька они попросили бы загрузить так называемые "ключи восстановления". Эти ключи фактически представляют собой zip-файл, содержащий символическую ссылку на конфиденциальный файл или каталог на компьютере пользователя, например учетные данные поставщика облачных услуг. Когда пользователь разархивирует и загрузит ключи восстановления обратно на веб-сайт, символическая ссылка будет обработана, и хакер получит доступ к желаемому конфиденциальному файлу. Пользователь может даже не осознавать, что что-то не так, поскольку веб-сайт может выглядеть совершенно законно, а процесс загрузки ключей восстановления является обычной практикой для криптовалютных кошельков.
Google полностью устранил уязвимость символической ссылки в Chrome версии 108. Чтобы защитить свои криптоактивы, важно поддерживать программное обеспечение в актуальном состоянии, избегать загрузки подозрительных файлов или перехода по ссылкам из ненадежных источников.
Похожие темы:
- Купить авто в Ростове-на-Дону с гарантией: лучшие варианты
- Octo Browser vs GoLogin: сравнение лучшего с доступным
- AdsPower vs Octo Browser. Обзор и сравнение популярных антидетект-браузеров — 2024
- Octo Browser vs Dolphin{anty}: объективное сравнение
- Инновационный подход ЦРУ: новый телеграм-бот для сотрудничества с российскими гражданами
- ОТЧЕТ ПОКАЗЫВАЕТ ОГРОМНЫЙ РОСТ РЫНКА КАЗИНО БЛАГОДАРЯ КРИПТОВАЛЮТЕ
- Топ-10 стран, использующих Kриптовалюту
- Ban Domain Fake/scam/malware PhishDestroy_bot
- Овладение оптимизацией рекламы на Facebook: Инсайты и стратегии от опытного партнерского маркетолога.
- Как получить подписку на GPT-4, даже когда ее нет в продаже