The Hacker News 網站披露,三星 Galaxy Store 中披露一個現已修復的安全漏洞,該漏洞可能會觸發受影響手機上的遠程命令執行。
據悉,該漏洞由一名獨立安全研究員發現并上報,主要影響 Galaxy Store 4.5.32.4 版本,與處理某些深度鏈接時出現的跨站腳本(XSS)漏洞有關。
上周,Disclosure 在公告中表示,由于沒有安全檢查深層鏈接,當用戶從包含深層鏈接的網站訪問鏈接時,攻擊者可以在 Galaxy Store 應用程序的 webview 上下文中執行 JS 代碼。
XSS 攻擊允許攻擊者在從瀏覽器或其他應用程序訪問網站時注入和執行惡意的 JavaScript 代碼。
Galaxy Store 應用程序中出現的安全漏洞與三星的營銷和內容服務(MCS)深層鏈接配置方式有關,這可能導致向 MCS 網站注入并執行任意代碼。
之后,當用戶訪問該鏈接時,可能被用來在三星設備上下載和安裝帶有惡意軟件的應用程序。另外,研究人員指出,為了能夠成功利用受害者的服務器,攻擊者有必要對 chrome 進行 HTTPS 和 CORS 繞過。
更多信息可以來這里獲取==>>電子技術應用-AET<<
本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。