Ссылка скрыта от гостей
детали уязвимости CVE-2022-3656, недавно обнаруженной командой Imperva Red Team. Уязвимость затрагивает более 2,5 миллиардов пользователей браузеров Google Chrome и браузеров на базе Chromium. При успешной эксплуатации злоумышленник может получить доступ к конфиденциальным файлам. Браузеры взаимодействуют символическими ссылками, которые позволяют работать с файлами ОС. Но если символические ссылки не проверяются браузером должным образом, то возникает уязвимость, как в данном случае.
Исследователи изучили браузерные функции Drop Event и FIle Input, а также API для доступа к файловой системе. Было обнаружено, что при перетаскивании файла или папки в форму ввода на сайте, они обрабатываются по разному и являются основной причиной ошибки.
Ошибка полностью исправлена в Google Chrome 108. Рекомендуем обновиться как можно скорее.
