手机版
你好,游客 登录 注册
背景:
阅读新闻

研究人员揭示了Chrome for Android中的高风险漏洞

[日期:2019-03-23] 来源:Linux公社  作者:醉落红尘 [字体: ]

Google在今年早些时候发布的Android例行安全更新中修复了Android WebView Web浏览器组件中的高风险安全漏洞。然而,在发现漏洞的研究人员披露漏洞之前,没有人知道漏洞的细节是什么以及危险是什么。此漏洞在年初立即提交给Google进行确认。根据漏洞的严重程度,Google会在当月立即进行更新,以阻止漏洞。

CVE-2019-5765  - 浏览器中的策略实施不足

WebView组件是Android中广泛使用的基本组件,允许开发人员调用组件并访问应用程序中的某些在线页面。使用Chromium引擎的Android浏览器(如Google Chrome,三星Internet浏览器和俄罗斯YANDEX浏览器)都会受到影响。同时,有问题的引擎广泛安装在Android 4.4及更高版本中,因此只要4.4及以上版本也会受到漏洞的影响。

Positive Technologies的网络安全弹性负责人Leigh-Anne Galloway描述了这一发现:“WebView组件在大多数Android移动应用程序中使用,这使得此类攻击非常危险。最明显的攻击方案涉及鲜为人知的第三方应用程序。在包含恶意负载的更新之后,此类应用程序可以从WebView读取信息。这样就可以访问浏览器历史记录,身份验证令牌和标题(通常用于在移动应用程序中登录)以及其他重要数据。“

攻击者可以使用此漏洞创建一个特殊的小文件来引导用户单击。这个小文件将被下载并像安装的应用程序一样运行。基于此漏洞利用的恶意文件可以直接访问WebView中的信息,例如保存的浏览历史记录,Cookie和其他重要数据。甚至每个应用程序的登录帐户和密码都可以直接被盗,因此这个漏洞对应用程序开发人员和用户来说相对有害。

Google已在年初的常规更新中修复此漏洞,前提是用户能够接收更新,或者无法完全修复漏洞。对于已使用Android 7.0及更高版本的用户,他们可以直接更新Google Chrome。 Google Chrome已实施未受影响的WebView版本。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-03/157667.htm

linux
相关资讯       Chrome for Android漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款