WhatsApp Desktop for Windows 存在跨站脚本漏洞,允许读取本地文件

主页 » 应用

阅读时间图标 1分钟读

日历图标 发表于

by 苏鲁尔·戴维斯 

发表于

分享此文章

读者帮助支持 MSpoweruser。如果您通过我们的链接购买,我们可能会获得佣金。 工具提示图标

阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多

WhatsApp 桌面存在一个漏洞,允许黑客通过向您发送特制文本消息来访问您的本地文件。

Facebook已发布公告(CVE-2019-18426) 其中指出:

描述:与 WhatsApp for iPhone 配对时,WhatsApp Desktop 中存在允许跨站点脚本和本地文件读取的漏洞。 利用该漏洞需要受害者单击特制文本消息中的链接预览。

受影响的版本:v0.3.9309 之前的 WhatsApp Desktop 与 2.20.10 之前的 WhatsApp for iPhone 版本配对

问题是 Electron 应用程序使用了基于 Chromium 69 的旧版 Web 渲染引擎,该引擎存在一个漏洞,该漏洞早已在较新版本的 Chrome 上进行了修补。

Facebook 已经提供了一个补丁版本,但如果你不使用应用商店版本,你很可能仍然安装了一个较旧的、易受攻击的版本。

如果是这种情况,最好更新到最新版本 您可以从此链接获取它。

通过 瘾科技

有关主题的更多信息: 保安, 漏洞, WhatsApp的, Windows 版 WhatsApp, WhatsApp的网站

苏鲁尔·戴维斯

苏鲁尔·戴维斯 Shield

智能手机专家

Surur Davids 是 WMPoweruser(后来成为 MSPoweruser.com)的创始人。 他是一位拥有十多年经验的智能手机专家。