三星Galaxy Store曝严重漏洞,黑客可在目标设备上安装APP

发表于:2022-11-03 08:42

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:james_23    来源:FreeBuf

#
漏洞
#
三星
分享:
  The Hacker News 网站披露,三星 Galaxy Store 中披露一个现已修复的安全漏洞,该漏洞可能会触发受影响手机上的远程命令执行。
  据悉,该漏洞由一名独立安全研究员发现并上报,主要影响 Galaxy Store 4.5.32.4 版本,与处理某些深度链接时出现的跨站脚本(XSS)漏洞有关。
  上周,Disclosure 在公告中表示,由于没有安全检查深层链接,当用户从包含深层链接的网站访问链接时,攻击者可以在 Galaxy Store 应用程序的 webview 上下文中执行 JS 代码。
  XSS 攻击允许攻击者在从浏览器或其他应用程序访问网站时注入和执行恶意的 JavaScript 代码。
  Galaxy Store 应用程序中出现的安全漏洞与三星的营销和内容服务(MCS)深层链接配置方式有关,这可能导致向 MCS 网站注入并执行任意代码。
  之后,当用户访问该链接时,可能被用来在三星设备上下载和安装带有恶意软件的应用程序。另外,研究人员指出,为了能够成功利用受害者的服务器,攻击者有必要对 chrome 进行 HTTPS 和 CORS 绕过。
  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号