اخبار اليوم الصحيفة, ثغرة خطيرة في اخبار اليوم الصحيفة, ثغرة خطيرة في
عثر باحثون في مجال امن المعلومات على ثغرة امنية خطيرة في متصفح “كروم” (Chrome)، والمتصفحات الاخرى المستندة الى مشروع “كروميوم” (Chromium)، تؤثر في نحو 2.5 مليار مستخدم في جميع انحاء العالم.
وقال باحثو شركة “امبيرفا” (Imperva) ان خطورة الثغرة تكمن في انها تسمح للقراصنة بسرقة الملفات الحساسة للمستخدمين، ومن بينها محتويات محافظ العملات المشفرة وبيانات اعتماد تسجيل الدخول.
ووفقًا للباحثين، فان هناك خللا في الطريقة التي يتفاعل بها متصفح كروم والمتصفحات المستندة الى كروميوم (مشروع متصفح الويب المفتوح المصدر) مع ما تُسمى الروابط الرمزية في انظمة الملفات.
ويوضح الباحثون ان الروابط الرمزية “سيملينك” (Symlinks) هي الملفات التي تشير الى ملف او دليل اخر في انظمة التشغيل، وتسمح للنظام بالتعامل مع الملف او الدليل المرتبط بالملفات الاصلية كما لو كانت في الموقع ذاته.
واوضح الباحثون -في منشور على مدونة امبيرفا- انه “يمكن ان تكون (الروابط الرمزية) هذه مفيدةً لانشاء اختصارات او اعادة توجيه مسارات الملفات او تنظيم الملفات بطريقة اكثر مرونة”. ولكن ان لم يُتعامَل مع هذه الملفات على النحو الصحيح، فيمكن ان تتحول الى نقطة ضعف يستغلها القراصنة.
وفي وصف سيناريو هجوم محتمل، قال الباحثون انه يمكن لاي قرصان انشاء محفظة عملات مشفرة مزيفة وموقع ويب يطلب من المستخدمين تنزيل مفاتيح الاسترداد الخاصة به.
واذا نزّل الضحية تلك الملفات، فانها قد تكون روابط رمزية لملف او مجلدا حساسا على حاسوب المستخدم، وبسبب الخلل في تعامل المتصفح مع تلك الملفات، فقد يؤدي الامر الى سرقة محافظ العملات المشفرة وبيانات الاعتماد على الجهاز.
واسوا ما في الامر –وفقًا للباحثين– هو ان الضحية سيكون غافلًا تمامًا عن حقيقة ان بياناته الحساسة قد اختُرقت، خاصةً ان العديد من محافظ العملات المشفرة وغيرها من الخدمات عبر الانترنت تطلب من المستخدمين تنزيل مفاتيح الاسترداد للوصول الى حساباتهم.
واوضح الباحثون انه “في سيناريو الهجوم الموضح اعلاه، سيستفيد المهاجم من هذه الممارسة الشائعة من خلال تزويد المستخدم بملف مضغوط يحوي رابطًا رمزيًا، بدلًا من مفاتيح الاسترداد الفعلية”.
ويجري الان تعقب الثغرة الامنية تحت الرمز “سي في اي-2022-3656” (CVE-2022-3656) وعالجتها “غوغل” (Google) مع الاصدار “108” من متصفح كروم، لذا يُنصح المستخدمون بتثبيت الاصدار الاحدث من المتصفح والمتصفحات المستندة الى مشروع كروميوم، وذلك قبل تنزيل اي مفاتيح استرداد.ثغرة خطيرة في متصفح “كروم” تعرّض ملفات مليارات المستخدمين للقرصنة