The Hacker News 網(wǎng)站披露,,三星 Galaxy Store 中披露一個(gè)現(xiàn)已修復(fù)的安全漏洞,該漏洞可能會(huì)觸發(fā)受影響手機(jī)上的遠(yuǎn)程命令執(zhí)行,。
據(jù)悉,,該漏洞由一名獨(dú)立安全研究員發(fā)現(xiàn)并上報(bào),主要影響 Galaxy Store 4.5.32.4 版本,,與處理某些深度鏈接時(shí)出現(xiàn)的跨站腳本(XSS)漏洞有關(guān),。
上周,Disclosure 在公告中表示,,由于沒有安全檢查深層鏈接,,當(dāng)用戶從包含深層鏈接的網(wǎng)站訪問鏈接時(shí),攻擊者可以在 Galaxy Store 應(yīng)用程序的 webview 上下文中執(zhí)行 JS 代碼。
XSS 攻擊允許攻擊者在從瀏覽器或其他應(yīng)用程序訪問網(wǎng)站時(shí)注入和執(zhí)行惡意的 JavaScript 代碼,。
Galaxy Store 應(yīng)用程序中出現(xiàn)的安全漏洞與三星的營(yíng)銷和內(nèi)容服務(wù)(MCS)深層鏈接配置方式有關(guān),,這可能導(dǎo)致向 MCS 網(wǎng)站注入并執(zhí)行任意代碼。
之后,,當(dāng)用戶訪問該鏈接時(shí),,可能被用來在三星設(shè)備上下載和安裝帶有惡意軟件的應(yīng)用程序。另外,,研究人員指出,,為了能夠成功利用受害者的服務(wù)器,攻擊者有必要對(duì) chrome 進(jìn)行 HTTPS 和 CORS 繞過,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<