据PerimeterX研究人员的一份报告,Face book拥有的即时通讯应用程序已经被一种新的bug感染。
已经发现的漏洞使黑客能够远程访问计算机或Mac计算机上的文件。上述漏洞被认为是整合了WhatsApp桌面应用程序中的几个缺陷,甚至是WhatsAppWe b客户端的一部分,该客户端在GoogleChrome和Safari等Web浏览器上工作。根据该报告,漏洞在于WhatsApp(CSP),它可以被利用来使用交叉脚本(XSS)发送被操纵的消息和链接。研究人员能够调整url并发送一个恶意链接,而不是合法链接,包括合法的查找横幅。“具有丰富预览横幅的消息是包含带有关于消息正文中的链接的额外信息的横幅的消息。在WhatsApp上,横幅正在发送方的一侧生成,这是一个需要理解的重要问题。在将横幅属性发送到接收方之前,可以很容易地篡改它。这是解决麻烦的良方,”研究员说。解释他是如何制造恶意链接的,他写道:“我做的第一件事是制作一条信息,其中包括一个合法的横幅,但将重定向到另一个领域,而不是简单地替换链接。”根据他的发现,这种修补工作在WhatsApp上为iOS、Android、Windows桌面、MacDesktop甚至WhatsAppWeb工作。如前所述,已经解决了这一被归类为高风险的问题。漏洞数据(NVD)中提供的WhatsApp漏洞解释了这一漏洞,“在0.3.9309之前的WhatsApp桌面版本中的一个漏洞,当与2.20.10之前的iPhone版本的WhatsApp配对时,允许跨站点脚本和本地文件读取。利用漏洞需要受害者从一条特别制作的短信中点击链接预览。”