ثغرة أمنية خطرة في كروم قد تؤثر في مليارات المستخدمين

اكتشف باحثو أمن المعلومات ثغرة أمنية خطيرة في Chrome والمتصفحات الأخرى بناءً على مشروع Chromium ، والذي يؤثر على حوالي 2.5 مليار مستخدم حول العالم.

قال باحثو Imperva إن خطورة الثغرة الأمنية تكمن في حقيقة أنها تسمح للمتسللين بسرقة ملفات المستخدم الحساسة ، بما في ذلك: محتويات محافظ العملة المشفرة وبيانات اعتماد تسجيل الدخول.

وفقًا للباحثين ، فإن الطريقة التي يتفاعل بها Chrome والمتصفحات القائمة على مشروع متصفح الويب مفتوح المصدر Chromium مع ما يسمى بالروابط الرمزية في أنظمة الملفات تعاني من خلل.

يوضح الباحثون أن الروابط الرمزية (Symlinks) هي ملفات تشير إلى ملف أو دليل آخر في أنظمة التشغيل ، وتسمح للنظام بمعالجة الملف أو الدليل المرتبط بالملفات الأصلية كما لو كانت في نفس الموقع.

أوضح الباحثون في تدوينة على Imperva: “يمكن أن تكون هذه (الروابط الرمزية) مفيدة في إنشاء اختصارات أو إعادة توجيه مسارات الملفات أو تنظيم الملفات بطريقة أكثر مرونة”. ولكن إذا لم تتم إدارة هذه الملفات بشكل صحيح ، فقد تصبح ثغرة أمنية للمتسللين.

في إطار تحديد سيناريو هجوم محتمل ، قال الباحثون إن المتسلل يمكنه إنشاء محفظة عملات رقمية مزيفة وموقع ويب يطلب من المستخدمين تنزيل مفاتيح الاسترداد الخاصة بهم.

في حالة قيام الضحية بتنزيل هذه الملفات ، فقد تكون روابط رمزية لملف أو مجلد حساس على جهاز كمبيوتر المستخدم ، وبسبب الخلل في معالجة المتصفح لهذه الملفات ، فقد يؤدي ذلك إلى سرقة محافظ وبيانات الاعتماد الخاصة بالعملات المشفرة. على الجهاز.

يقول الباحثون إن ما هو أسوأ من ذلك هو أن الضحية لن تكون على دراية تمامًا بأن بياناتها الحساسة قد تعرضت للاختراق ، خاصة وأن العديد من محافظ العملات المشفرة وغيرها من الخدمات عبر الإنترنت تتطلب من المستخدمين تنزيل مفاتيح الاسترداد للوصول إلى حساباتهم.

وقال الباحثون: “في سيناريو الهجوم الموصوف أعلاه ، سيستغل المهاجم هذه الممارسة الشائعة من خلال تزويد المستخدم بملف مضغوط يحتوي على رابط رمزي بدلاً من مفاتيح الاسترداد المادية”.

يتم الآن تتبع الثغرة الأمنية باستخدام المعرف (CVE-2022-3656) وتم إصلاحها بواسطة Google باستخدام متصفح Chrome الإصدار 108 ، لذلك يُنصح المستخدمون بتثبيت أحدث إصدار من المتصفح والمتصفحات بناءً على مشروع Chromium. قبل تنزيل أي مفتاح استرداد.

   قـــد يهمــــــــك أيضــــــاُ :

جوجل تهاجم الاتحاد الأوروبى لمعاملته لها كـ"مجرم"

الاتحاد الأوروبي يوافق على قواعد الإنترنت لجوجل وفيسبوك وعمالقة التكنولوجيا الآخرين