WhatsApp桌面应用程序漏洞导致远程文件访问代码执行
科技2020-09-22 19:29:16
导读
根据美国国家标准与技术研究所(National Institute of Standards and Technology)的数据,该漏洞的严重程度为8.2分,是由安全研究员盖尔·魏茨曼(Gal Weizman)和PerimeterX发现的。
它的起源可以追溯到2017年,当时他发现了改变他人回复文字的能力。从那以后,Weizman意识到他可以用富媒体来制作看起来可靠的消息,将目标重定向到他选择的目的地。进一步利用他的成功,安全研究员能够使用JavaScript获得一个单击持久XSS。
Weizman继续努力,最终绕过了WhatsApp的CPS规则,增强了XSS的持久性。致命的一击是认识到远程代码执行也是可能的。
经过一番研究,这位研究人员意识到这一切都是可行的,因为Facebook提供的WhatsApp桌面应用程序版本是基于过时的谷歌浏览器Chrome 69的。
这个漏洞是在Chrome/78稳定版本时发现的!在Chrome/78之前的几个版本,使用javascript的能力已经打了补丁,如果WhatsApp将他们的电子web应用程序从4.1.4升级到最新的7.x,那就更好了。这个漏洞被发现时的x(!) -这个XSS将永远不会存在!
Facebook表示,CVE-2019-18426这一漏洞影响的是v0.3.9309之前的WhatsApp桌面,以及2.20.10之前的iPhone版本。
免责声明:本文由用户上传,如有侵权请联系删除!