本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。
Masas は、「SymLink は、ショートカット作成/ファイルパス・リダイレクトなどの、柔軟な方法によるファイルの整理に便利なものだ。しかし、適切に扱わなければ、脆弱性を引き起こす可能性もある。我々が Google に開示した脆弱性のケースでは、ファイルやディレクトリを処理する際に、ブラウザが SymLink と相互作用するという問題が発生した」と述べている。
つまり、この欠陥により、ブラウザは、シンボリックリンクがユーザーをアクセスすることを意図していない場所に、SymLink が誘導しているかどうかを、ブラウザが正しくチェックせず、その結果として、機密ファイルの窃取を可能にしていたのだ。
彼は、「この問題は、一般に SymLink フォローとして知られている。たとえば、新しい暗号ウォレット・サービスを提供する偽の Web サイトを作成するために、攻撃者が悪用することも考えられる」と付け加えている。
この脆弱性を発見した後に Imperva は、Chromium のバグ・トラッカーに PoC エクスプロイトを作成し、関連する攻撃が発生し得る状況を紹介した。
・・・
|
|
|
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today