Facebook 修复了 WhatsApp 中的漏洞，阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426)，黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。

根据Facebook发布的安全公告，与iPhone端WhatsApp搭配使用时，WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。

Weizman在WhatsApp的内容安全策略（CSP）中发现了一个漏洞，使得黑客可以对进行跨站点脚本攻击（XSS），后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。

专家写道： “如果您运行的应用是易受攻击的旧版本，该漏洞将有可能对您造成不良影响。”

“关于如何使用fetch（）API，例如，可以从本地操作系统读取文件，例如本例中的C：/ Windows / System32 / drivers / etc / hosts文件的内容，”

该漏洞可能使黑客在消息中注入恶意代码和链接，这些消息和链接对于受害者是完全透明的。

消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接