ChainCatcher rapporte, selon GoPlus et un rapport de Koi, qu'une vulnérabilité critique d'injecton de prompt existe dans l'extension Chrome Claude d'Anthropic, affectant toutes les versions inférieures à 1.41. Les attaquants peuvent créer une page web malveillante pour charger silencieusement en arrière-plan un iframe contenant une vulnérabilité XSS et exécuter une charge malveillante sur le sous-domaine a-cdn.claude.ai. Étant donné que ce sous-domaine figure sur la liste blanche de confiance de l'extension, les attaquants peuvent directement envoyer et exécuter automatiquement des prompts malveillants à l'extension Claude, sans nécessiter aucune autorisation ni interaction de l'utilisateur, qui reste totalement inconscient du processus. Cette vulnérabilité permet aux attaquants de contrôler l'extension Claude pour lire les documents Google Drive de l'utilisateur, voler des jetons d'accès professionnels ou exporter des historiques de discussions, et ainsi prendre le contrôle de la session navigateur actuelle afin d'effectuer des opérations sensibles, comme l'envoi d'e-mails, au nom de la victime. GoPlus recommande aux utilisateurs de mettre immédiatement à jour leur extension Claude en version 1.41 ou supérieure, et de rester vigilants face aux liens d'hameçonnage.
Les extensions Claude Chrome versions inférieures à 1.41 sont vulnérables à une faille d'injection de prompt
ChaincatcherPartager
Résumé
Un nouveau rapport sur une vulnérabilité révèle que les extensions Claude Chrome versions inférieures à 1.41 sont vulnérables aux attaques par injection de prompts. Les attaquants peuvent utiliser des iframes malveillants pour exécuter des charges utiles sur le sous-domaine autorisé a-cdn.claude.ai. Cette faille pourrait entraîner un vol de données, y compris l'accès à Google Drive et le détournement de session. GoPlus recommande de mettre à jour vers la version 1.41 ou supérieure. Ce problème souligne l'importance de rester vigilant face aux risques d'exploitation DeFi et autres menaces de sécurité. Les utilisateurs sont invités à éviter les liens suspects et à s'assurer que leurs extensions sont à jour.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.