WhatsApp桌面客戶端遠程文件訪問和代碼執(zhí)行漏洞的影響有多大？該漏洞是由安全研究人員gal weizman和perimeter X聯(lián)合發(fā)現(xiàn)的。美國國家標(biāo)準與技術(shù)研究所（NIST）評估的嚴重程度為8

WhatsApp桌面客戶端遠程文件訪問和代碼執(zhí)行漏洞的影響有多大？

該漏洞是由安全研究人員gal weizman和perimeter X聯(lián)合發(fā)現(xiàn)的。美國國家標(biāo)準與技術(shù)研究所（NIST）評估的嚴重程度為8.2。

[caption via techspot

早在2017年，研究人員就發(fā)現(xiàn)了更改他人回復(fù)文本的問題。魏茨曼意識到，他可以利用富媒體來創(chuàng)建假消息，并將目標(biāo)重定向到他指定的位置。

安全研究人員進一步證實了這一點，并可以使用JavaScript實現(xiàn)一鍵式持久跨站點腳本攻擊（XSS）。

最終繞過WhatsApp的CPS規(guī)則，增強攻擊能力，甚至實現(xiàn)遠程代碼執(zhí)行。

經(jīng)過一番挖掘，研究人員意識到這一切都是可行的。因為Facebook提供的WhatsApp桌面應(yīng)用程序版本正式基于Chrome69的過時版本。

當(dāng)Chrome78正式發(fā)布時，這個問題就暴露了出來，早期版本中使用的JavaScript功能已經(jīng)修補。

如果WhatsApp將其electron web應(yīng)用程序從4.1.4更新為最新版本（7。X.X）在發(fā)現(xiàn)時，XSS將不再存在。

Facebook稱cve-2019-18426漏洞影響0.3.9309之前的WhatsApp桌面客戶端和2.20.10之前的iPhone客戶端。

有關(guān)該漏洞的詳細信息，請訪問weizman的perimeterx博客文章。