WhatsApp Desktop for Windowsには、ローカルファイルを読み取ることができるクロスサイトスクリプティングの脆弱性があります
1分。 読んだ
上で公開
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
WhatsAppデスクトップには、ハッカーが特別に細工したテキストメッセージを送信してローカルファイルにアクセスできるという脆弱性があります。
Facebookはアドバイザリを発行しました(CVE-2019-18426)どのメモ:
説明:WhatsApp for iPhoneとペアリングした場合のWhatsAppデスクトップの脆弱性により、クロスサイトスクリプティングとローカルファイルの読み取りが可能になります。 脆弱性を悪用するには、被害者が特別に細工したテキストメッセージからリンクプレビューをクリックする必要があります。
影響を受けるバージョン:v0.3.9309より前のWhatsAppデスクトップと2.20.10より前のバージョンのWhatsApp for iPhone
問題は、ElectronアプリがChromium 69に基づく古いWebレンダリングエンジンを使用していることです。このエンジンには、より新しいバージョンのChromeにパッチが適用されてから長い間脆弱性があります。
Facebookはパッチを適用したバージョンを利用できるようにしていますが、ストアバージョンのアプリを使用しない場合でも、古い脆弱なバージョンがインストールされている可能性があります。
その場合は、最新バージョンに更新することをお勧めします。 このリンクから入手できます。
ビア Engadgetの