左翼网络社在此祝各位同志新年快乐！愿在新的一年里，同志们仍然安全地并肩战斗！为着伟大的共产主义明天前进！

1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。

该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。

Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。

在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。

博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。

来源：果核剥壳

重要： Clash for Windows存在远程代码执行漏洞，可能存在恶意代码执行风险及目录穿越问题

影响版本：0.20.12 及以下切使用 CFW 用户［包括支持 rule-providers path 的第三方客户端］

风险等级：一般［执行操作需要用户手动订阅完成，但可能存在恶意引导问题］

处置建议：用户应当清楚自己的订阅文件内容，且是由可信来源获取，并已对此进行了审核，

本次漏洞为 Clash 对于订阅文件中的 rule-providers 的 path 的不安全处理出现了目录穿越问题，同时导致 cfw-setting.yaml 会被覆盖，且 cfw-setting.yaml 中 parsers 的 js代码将会被执行

注：开发团队已经被告知该问题，且正在考虑如何着手修改。普通用户不应当订阅来自互联网上的不明订阅链接，其中很可能被插入恶意代码，特别是在较新版本后客户端支持在 parser 中执行 js 代码［对于配置文件进行预处理］

今日最大乐子：某推特“新左翼”和某自由派“官方”翻脸，随后前者被后者开盒。

最新消息：Project X主要开发者RPRX复活，并对代码做出改动，解决了新的 Vision 流控的偶发性内层 SSL 错误。

匿名投稿：推特出现用户数据泄露。
https://breached.vc/Thread-Twitter-200M-Scrape-Leak-in-csv