WhatsApp Desktop for Windows 存在跨站脚本漏洞,允许读取本地文件
1分钟读
发表于
读者帮助支持 MSpoweruser。如果您通过我们的链接购买,我们可能会获得佣金。
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
WhatsApp 桌面存在一个漏洞,允许黑客通过向您发送特制文本消息来访问您的本地文件。
Facebook已发布公告(CVE-2019-18426) 其中指出:
描述:与 WhatsApp for iPhone 配对时,WhatsApp Desktop 中存在允许跨站点脚本和本地文件读取的漏洞。 利用该漏洞需要受害者单击特制文本消息中的链接预览。
受影响的版本:v0.3.9309 之前的 WhatsApp Desktop 与 2.20.10 之前的 WhatsApp for iPhone 版本配对
问题是 Electron 应用程序使用了基于 Chromium 69 的旧版 Web 渲染引擎,该引擎存在一个漏洞,该漏洞早已在较新版本的 Chrome 上进行了修补。
Facebook 已经提供了一个补丁版本,但如果你不使用应用商店版本,你很可能仍然安装了一个较旧的、易受攻击的版本。
如果是这种情况,最好更新到最新版本 您可以从此链接获取它。
通过 瘾科技