APP下载

脸书修补WhatsApp允许骇客存取本地端档案系统的安全漏洞

消息来源:baojiabao.com 作者: 发布时间:2026-07-14

报价宝综合消息脸书修补WhatsApp允许骇客存取本地端档案系统的安全漏洞
图片来源: 

WhatsApp

来自PerimeterX的安全研究人员Gal Weizman,在本周对外揭露藏匿在WhatsApp中的安全漏洞,此一编号为CVE-2019-18426的安全漏洞,将允许骇客执行跨站脚本程式攻击(XSS)或读取受害者的本地端档案,幸好脸书已于上个月修补了该漏洞。

根据Weizman的说明,该漏洞存在于WhatsApp的内容安全政策(Content Security Policy,CSP)中,同时影响WhatsApp的Web版客户端程式与桌面程式。在针对Web版客户端程式的攻击上,骇客只要传送一个特制的讯息就能执行XSS攻击,而在桌面程式上,骇客则可透过XSS攻击并绕过CSP,以读取受害者存放在本地端的档案,也可能执行远端程式攻击。

Weizman强调,CSP的规则非常重要,假设CSP的配置正确,那么XSS的威力就会受到很大的限制,允许骇客绕过CSP等于是替骇客大开方便之门,不仅能向受害者窃取宝贵的资讯,也更容易载入其它恶意酬载。

脸书则说,CVE-2019-18426漏洞出现在WhatsApp桌面程式搭配iPhone版WhatsApp程式时,将允许XSS攻击及读取本地端档案,使用者只要点选文字讯息中的预览连结就可能受害。

最近另一个与WhatsApp有关的消息是,WhatsApp已在2月1月终止对 Android 2.3.7及之前,与iOS 8及之前等行动平台的支援,代表这些平台上的WhatsApp随时可能停止运作,使用者只能选择更新平台或更换手机来因应。

2020-02-06 13:50:00

相关文章