whatsapp-1212017_640

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

  • 浏览次数 74325
  • 喜欢 0
  • 评分 12345

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。

根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。

 

Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。

专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。”

“关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,”

whatsapp缺陷

该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。

 

消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接