三星設備的Galaxy Store應用程序中披露了一個現已修補的安全漏洞,該漏洞可能會導致受影響手機上的遠程命令執行。

該漏洞影響Galaxy Store 4.5.32.4版本,與處理某些深層鏈接時發生的跨站點腳本(XSS)漏洞有關。

SSD Secure Disclosure在上周發布的一份公告中表示:“在這種情況下,由于沒有安全檢查深度鏈接,當用戶從包含深度鏈接的網站訪問鏈接時,攻擊者可以在Galaxy Store應用程序的web視圖上下文中執行JS代碼。”

XSS攻擊允許攻擊者在從瀏覽器或其他應用程序訪問網站時注入并執行惡意JavaScript代碼。

Galaxy Store應用程序中發現的漏洞與三星營銷和內容服務(MCS)的深度鏈接配置有關,這可能導致注入MCS網站的任意代碼執行。

然后,當訪問該鏈接時,可以利用此功能在三星設備上下載和安裝惡意軟件應用程序。

研究人員指出:“為了能夠成功利用受害者的服務器,有必要使用HTTPS和CORS繞過chrome。”

黑客 信息安全 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接