安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞1月15日消息,网络安全公司ImpervaRed近日披露了存在于Chrome/Chromium浏览器上的漏洞细节,并警告称全球超过25亿用户的数据面临安全威胁。该公司表示,这个追踪编号为CVE-2022-3656的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道:“该漏洞是通过审查浏览器与文件系统交互的方式发现的,特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。ImpervaRed将符号链接(symlink)定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。ImpervaRed表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。在GoogleChrome的案例中,问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说,浏览器没有正确检查符号链接是否指向一个不打算访问的位置,这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示,攻击者可以创建一个提供新加密钱包服务的虚假网站。然后,该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。博文中写道:“这些密钥实际上是一个zip文件,其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后,攻击者将获得对敏感文件的访问权限”。ImpervaRed表示,它已将该漏洞通知谷歌,该问题已在Chrome108中得到彻底解决。建议用户始终保持其软件处于最新状态,以防范此类漏洞。src:果核剥壳

相关推荐

封面图片

Chrome浏览器曝高危漏洞 Google敦促30亿用户尽快更新

Chrome浏览器曝高危漏洞Google敦促30亿用户尽快更新但作为一个基于新版本推送的版本更新,它无疑将与已经停止新版Chrome支持的Windows7、Windows8.1等老版本用户无关,Google也并未向老版本系统用户给出任何解决方案。本次被发现的漏洞编号为CVE-2023-2033,它是一个出现在Chrome浏览器V8JavaScript引擎中的类型混淆漏洞。此类漏洞的本质是一种允许使用错误的类型访问内存的Bug,会导致越界读写内存。具体到CVE-2023-2033漏洞上,黑客能够利用它制作一个恶性的HTML页面,并通过堆内存的损坏来执行任意代码。...PC版:https://www.cnbeta.com.tw/articles/soft/1355183.htm手机版:https://m.cnbeta.com.tw/view/1355183.htm
封面图片

Wallet Guard:Chrome 浏览器出现零日漏洞,请立即更新

WalletGuard:Chrome浏览器出现零日漏洞,请立即更新Web3安全机构WalletGuard发文表示,Chrome浏览器出现零日漏洞CVE-2023-7024,立即更新您的Chrome浏览器(Brave、Opera、Edge等),Google已发布紧急更新以解决此零日漏洞。该漏洞是由于开源WebRTC框架中的堆缓冲区溢出漏洞造成的,许多网络浏览器(如MozillaFirefox、Safari和MicrosoftEdge)通过JavaScriptAPI提供实时通信(RTC)功能(如视频流、文件共享和VoIP电话)。Google表示,在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。如果其他项目同样依赖但尚未修复的第三方库中存在该错误,我们还将保留限制。
封面图片

微软和Google发布浏览器紧急安全更新 应对风险等级为4级高危漏洞

微软和Google发布浏览器紧急安全更新应对风险等级为4级高危漏洞如果你的浏览器提示你升级,请一定不要拒绝。微软和Google已经发布了对其基于Chromium的浏览器中的浏览器漏洞的紧急修复,根据BSI的评估,该漏洞可以通过访问网页或点击链接就可以被利用。Google浏览器和基于微软Chrome的Edge浏览器的几个漏洞已经被披露。攻击者可以利用这一点,目前还没有发现被外部利用来攻击的迹象,但事实上要利用它,只需调用一个恶意设计的网站或点击一个特别设计过的页面链接。这些漏洞被判定为4级风险,意味着它们影响大,容易被利用。——CnBeta频道
封面图片

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】2023年04月17日10点58分4月17日消息,Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞(CVE编号:CVE-2023-2033),利用该漏洞,受害者只要浏览了攻击者精心构造的恶意页面,攻击者即可在受影响的设备上执行任意代码,所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等,建议立即升级以避免被攻击。如果使用的是诸如MicrosoftEdge、猎豹浏览器、360安全浏览器等等使用了Chrome内核的浏览器的话,也需要升级至带有最新版本。(SecurityOnline)
封面图片

谷歌 Chrome 浏览器获推 124.0.6367.201/202 更新,修复界面组件 RAM 高危漏洞 CVE-2024-4

谷歌Chrome浏览器获推124.0.6367.201/202更新,修复界面组件RAM高危漏洞CVE-2024-4671https://www.ithome.com/0/767/183.htm谷歌披露,他们在5月7日接收了匿名人士报告的相关漏洞,随即展开修复工作,这项CVE-2024-4671漏洞CVSS评分为8.8,实际上是一个常见的“Use-after-free”类RAM错误,主要影响Chrome浏览器界面组件,允许黑客远程执行代码。
封面图片

Chrome 浏览器存在严重的安全漏洞,这个漏洞被命名为 CVE-2023-2033,是一个类型混淆漏洞,出现在 Chrome

Chrome浏览器存在严重的安全漏洞,这个漏洞被命名为CVE-2023-2033,是一个类型混淆漏洞,出现在Chrome浏览器使用的V8JavaScript引擎中。类型混淆漏洞是一种允许使用错误的类型访问内存的Bug,从而导致越界读写内存。这个漏洞的危险之处在于,黑客可以制作一个恶意的HTML页面,利用堆内存的损坏来执行任意代码。根据谷歌的威胁分析组(TAG)的报告,这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度,但谷歌将其定为“高”级别的问题。谷歌已经发布版本为112.0.5615.121的安全更新修复了这个漏洞,建议用户更新。()(话说那些国产套壳浏览器怎么办,也会更新吗?)频道:@TestFlightCN

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人