本記事はサイバー・セキュリティに関するニュースを集めた情報サイト 「IoT OT Security News」に掲載されている情報から セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。
Masas は、「SymLink は、ショートカット作成/ファイルパス・リダイレクトなどの、柔軟な方法によるファイルの整理に便利なものだ。しかし、適切に扱わなければ、脆弱性を引き起こす可能性もある。我々が Google に開示した脆弱性のケースでは、ファイルやディレクトリを処理する際に、ブラウザが SymLink と相互作用するという問題が発生した」と述べている。