Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞,消除了允许攻击者从 Windows / Mac 上的本地文件系统中读取文件、甚至远程代码执行的隐患。
该漏洞由安全研究人员 Gal Weizman 和 PerimeterX 共同发现,美国国家标准技术研究所(NIST)评估的严重等级为 8.2 。
【题图 via TechSpot】
早在 2017 年的时候,研究人员就已经发现过可更改他人回复文字的问题。Weizman 意识到,他可以利用富媒体制作以假乱真的消息,将目标重定向到他指定的位置。
安全研究人员进一步证实了此事,可以利用 JavaScript 达成一键式持久性跨站脚本攻击(XSS)。
最终绕过 WhatsApp 的 CPS 规则来增强攻击能力,甚至实现远程代码执行。
经过一番挖掘,研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp 桌面应用程序版本,正式基于过时的 Chrome 69 版本。
问题在 Chrome 78 正式推出时曝光,早几个版本中使用的 javascript 技俩的功能已得到修补。
若 WhatsApp 将其 Electron Web 应用程序从 4.1.4 更新到发现此漏洞时的最新版本(7.x.x),那 XSS 也将不复存在。
Facebook 表示,CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及 2.20.10 之前的 iPhone 客户端。
有关漏洞的详情,还请移步至 Weizman 的 PerimeterX 博客文章中查看。
相关推荐
-
工艺品在家做联系电话(哪里有手工制作工艺品帮我联系)
手工活建议要押金的一律不做! 推荐毛绒玩具加工,比穿珠子,贴画什么的靠谱,结算快,投资小,面对面的可以签署合同,商家一般要与你合作会实地考察,因为不需要押金。 怎么找商家呢?保定雄安新区那里好多加工点,...
-
可以转职的游戏,有什么战棋类的游戏,要能转职的那种?
论转职类战棋游戏,很多玩家肯定第一就想到了火焰纹章。火焰纹章最新作风花雪月有多香,我这里就不介绍了。我这里推一个真的很好玩的游戏。幽浮2-xcom2:我们的目标是星辰大海!在那之前,我们先得把地球收回来。。...
-
按键精灵如何制作脚本,按键精灵怎么制作脚本,按键精灵脚本制作教程?
首先我们要打开安装在电脑里的按键精灵。打开按键软件后,我们点击界面里的”我的脚本“。点击后我们进入我的脚本管理中心。在脚本管理界面,我们点击”新建“。点击新建后,弹出新建脚本的窗口两个选项。在这两个选项,...
-
nvidia显卡怎么设置才能提高游戏fps,Nvidia显卡怎么设置才能提高游戏fPS?
1、三重缓冲:关3重缓冲是一种图象处理技术,打开三级缓冲也意味着需要多50% 的缓存空间。在此条件之下,它可能会对游戏效果产生负面影响。2、各向异性同步过滤数值越大,画面显示就越细腻,该选项对于游戏画质有明显提...
-
软件脱壳是什么意思,软件脱壳是什么意思?
软件脱壳,顾名思义,就是对软件加壳的逆操作,把软件上存在的壳去掉。在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务...
-
gif动图怎么制作软件,制作GIF动图,哪些软件简单易操作?
而且质量还好。 我们经常在刷微博时能看到一些博主制作的 GIF 动图,它们通常是套用一个特定的模板,配上不同的话语来实现搞笑的效果。如果你也想制作类似的效果的 GIF 图,那么不妨来试试下面这些 GIF 动图生成网站...
