The Hacker News 網(wǎng)站披露，三星 Galaxy Store 中披露一個現(xiàn)已修復(fù)的安全漏洞，該漏洞可能會觸發(fā)受影響手機上的遠(yuǎn)程命令執(zhí)行。

　　據(jù)悉，該漏洞由一名獨立安全研究員發(fā)現(xiàn)并上報，主要影響 Galaxy Store 4.5.32.4 版本，與處理某些深度鏈接時出現(xiàn)的跨站腳本（XSS）漏洞有關(guān)。

　　上周，Disclosure 在公告中表示，由于沒有安全檢查深層鏈接，當(dāng)用戶從包含深層鏈接的網(wǎng)站訪問鏈接時，攻擊者可以在 Galaxy Store 應(yīng)用程序的 webview 上下文中執(zhí)行 JS 代碼。

　　XSS 攻擊允許攻擊者在從瀏覽器或其他應(yīng)用程序訪問網(wǎng)站時注入和執(zhí)行惡意的 JavaScript 代碼。

　　Galaxy Store 應(yīng)用程序中出現(xiàn)的安全漏洞與三星的營銷和內(nèi)容服務(wù)（MCS）深層鏈接配置方式有關(guān)，這可能導(dǎo)致向 MCS 網(wǎng)站注入并執(zhí)行任意代碼。

　　之后，當(dāng)用戶訪問該鏈接時，可能被用來在三星設(shè)備上下載和安裝帶有惡意軟件的應(yīng)用程序。另外，研究人員指出，為了能夠成功利用受害者的服務(wù)器，攻擊者有必要對 chrome 進(jìn)行 HTTPS 和 CORS 繞過。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<