O Google Chrome é um navegador popular usado por bilhões de pessoas em todo o mundo. Em um episódio sombrio de violação de segurança, a Imperva Red – uma empresa de segurança cibernética detectou uma falha nos navegadores baseados no Google Chrome e Chromium, arriscando dados de mais de 2,5 bilhões de usuários. Apelidado de CVE-2022-3656, essa vulnerabilidade permitiu o roubo de arquivos confidenciais, como carteiras de criptografia e credenciais de provedores de nuvem, diz a empresa.
“A vulnerabilidade foi descoberta através de uma revisão das maneiras como o navegador interage com o sistema de arquivos, especificamente procurando vulnerabilidades comuns relacionadas à maneira como os navegadores processam links simbólicos”, diz o blog.
O que é um link simbólico?
Imperva Red define symlink ou um link simbólico como um tipo de arquivo que aponta para outro arquivo ou diretório. Ele permite que o sistema operacional trate o arquivo ou diretório vinculado como se estivesse no local do link simbólico. Um link simbólico, diz que pode ser útil para criar atalhos, redirecionar caminhos de arquivos ou organizar arquivos de uma maneira mais flexível.
No entanto, esses links também podem ser usados para introduzir vulnerabilidades se não forem tratados adequadamente.
No caso do Google Chrome, o problema surgiu da maneira como o navegador interagia com links simbólicos ao processar arquivos e diretórios. Para ser específico, o navegador não verificou corretamente se o link simbólico estava apontando para um local que não deveria estar acessível, o que permitia o roubo de arquivos confidenciais, afirma a postagem do blog.
Como os links simbólicos afetaram o Google Chrome?
Explicando como a vulnerabilidade afetou o Google Chrome, a empresa diz que um invasor poderia criar um site falso que oferece um novo serviço de carteira de criptografia. O site poderia então enganar o usuário a criar uma nova carteira solicitando que ele baixe suas chaves de ‘recuperação’.
“Essas chaves seriam na verdade um arquivo zip contendo um link simbólico para um arquivo ou pasta sensível no computador do usuário, como uma credencial de provedor de nuvem. Quando o usuário descompacta e carrega as chaves de ‘recuperação’ de volta para o site, o link simbólico seria processado e o invasor teria acesso ao arquivo sensível”, afirma o blog.
O que os usuários do Chrome devem fazer?
Imperva Red diz que notificou o Google sobre a vulnerabilidade e o problema foi totalmente resolvido no Chrome 108. É aconselhável que os usuários sempre mantenham seu software atualizado para se proteger contra tais vulnerabilidades.
Pode te interessar também – Como enviar reações de mensagens no WhatsApp
Veja mais notícias como esta em nosso caderno de tecnologia.
Gostou deste post? se sim, você pode acompanhar diariamente nossos conteúdos sobre tecnologia aqui no CenárioMT. Volte sempre que temos conteúdos atualizados diariamente!
Siga-nos no Facebook e Twitter para se manter informado com as notícias de hoje!