Google Chrome позволяет украсть логины и пароли

При работе браузера с операционной системой Windows была выявлена опасная уязвимость, сливающая информацию. Об этом сообщается в исследовании уязвимостей компании Defense Code.

Проблема заключается в обработке файлов формата .SCF (Shell Command File). Его применение можно увидеть в использовании функции "свернуть все окна" в системах не старше Windows XP. Это текстовый файл с командами на сворачивание.

Google Chrome сохраняет все загрузки в соответствующую папку; при открытии SCF-файла в "Проводнике" он будет открываться через указанный в параметрах ресурс. "Раскрыть" такую загрузку сложнее, так как Windows показывает подобные файлы без расширения.

Если мошенникам удаётся заставить скачать у пользователя файл в данном формате, то они смогут перехватить имя пользователя и хеш пароля. Последний можно взломать или перенаправить на иной сервис. Тогда злоумышленники смогут выдавать себя за пользователя в любое время.