Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统
Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。
根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。
Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。
专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。”
“关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,”
该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。
消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
“Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统” 的相关文章
育碧通报网络安全事件 全公司已采取重置密码的预防措施
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击
据TechCrunch报道,红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其...
FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门
Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...
FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了...
数百万用户受影响,杀毒软件 Avast 中潜藏近 10 年的漏洞被披露
5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.s...
SushiSwap 承认 MISO 平台遭到软件供应链攻击 损失超过 300 万美元
SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Off...
评论列表
发表评论
