WhatsApp桌面应用程序漏洞导致远程文件访问代码执行
企业产经
2021-09-02 00:17:41
导读 新时代,高科技越来越发达。朋友们读了很多关于科技的重要新闻。我们也应该在生活中使用很多这些高科技的东西。朋友应该注意什么?今天,我
新时代,高科技越来越发达。朋友们读了很多关于科技的重要新闻。我们也应该在生活中使用很多这些高科技的东西。朋友应该注意什么?今天,我想和大家分享一条关于科技的知识。我希望你会喜欢它。
根据美国国家标准与技术研究所的数据,该漏洞的严重性为8.2分,是由安全研究人员Gal Weizman和周长x发现的。
它的起源可以追溯到2017年,当时他发现了改变别人回复文字的能力。从那时起,魏茨曼意识到他可以使用富媒体制作可靠的消息,并将目标重定向到他选择的目的地。进一步利用他的成功,安全研究人员可以使用JavaScript获得持续点击的XSS。
魏茨曼继续努力,最终绕过了WhatsApp的CPS规则,增强了XSS的持久性。致命的一击是意识到远程代码执行也是可能的。
经过一番研究,研究人员意识到这一切都是可行的,因为脸书提供的WhatsApp桌面应用版本是基于过时的谷歌浏览器Chrome 69。
这个漏洞是在Chrome/78的稳定版本中发现的!在Chrome/78之前的几个版本中,使用javascript的能力已经打了补丁。如果WhatsApp把他们的电子网页应用从4.1.4升级到最新的7.x. X(!)-这个XSS永远不会存在!
脸书表示,CVE-2019-18426影响了v0.3.9309之前的WhatsApp桌面和2.20.10之前的iPhone版本。
本文就为大家讲解到这里了。