根據(jù)安全新聞網(wǎng)站Bleeping Computer的報(bào)道,安全研究人員Saumyajeet Das發(fā)現(xiàn)Windows版即時(shí)通信軟件WhatsApp存在弱點(diǎn)�,在用戶發(fā)送Python安裝文件(.PYZW)或是PHP文件的時(shí)候不會(huì)進(jìn)行攔截�,也不向用戶發(fā)出警示消息�,導(dǎo)致攻擊者有機(jī)會(huì)對(duì)使用這款通信軟件的開(kāi)發(fā)人員下手�。
根據(jù)安全新聞網(wǎng)站Bleeping Computer的報(bào)道,安全研究人員Saumyajeet Das發(fā)現(xiàn)Windows版即時(shí)通信軟件WhatsApp存在弱點(diǎn)�,在用戶發(fā)送Python安裝文件(.PYZW)或是PHP文件的時(shí)候不會(huì)進(jìn)行攔截�,也不向用戶發(fā)出警示消息,導(dǎo)致攻擊者有機(jī)會(huì)對(duì)使用這款通信軟件的開(kāi)發(fā)人員下手�。
研究人員指出�,通過(guò)發(fā)送Python或PHP文件進(jìn)行漏洞利用攻擊存在先決條件�,那就是目標(biāo)計(jì)算機(jī)要安裝Python或PHP�,但在軟件開(kāi)發(fā)人員�、安全研究人員�、管理者的計(jì)算機(jī)里�,往往具有這樣的組態(tài)而可能因此中招,因此這樣的風(fēng)險(xiǎn)相當(dāng)值得留意�,因?yàn)榭赡鼙挥糜卺槍?duì)性攻擊�。
照理來(lái)說(shuō),若是在消息里的附件類型(如EXE)有可能被黑客用于攻擊的時(shí)候�,WhatsApp會(huì)要求用戶必須存儲(chǔ)到磁盤(pán)再執(zhí)行�,禁止直接打開(kāi),但對(duì)于上述的程序語(yǔ)言腳本并未管制�,使得攻擊者有機(jī)可乘�。
除了前述的PYZW、PHP文件�,研究人員發(fā)現(xiàn)還有Python壓縮文件(.PYZ)、Windows事件記錄文件(.EVTX)也有相同情形�。
6月3日Saumyajeet Das向Meta通報(bào)此事,該公司7月15日回復(fù),他們?cè)诖酥耙呀荧@另一名研究人員的報(bào)告�。該名研究人員表示,他通過(guò)Meta的漏洞懸賞項(xiàng)目進(jìn)行通報(bào)�,但發(fā)現(xiàn)此案竟直接以N/A結(jié)案處理。
對(duì)此�,Bleeping Computer取得Meta發(fā)言人的說(shuō)法,該公司認(rèn)為這并非應(yīng)用程序本身的問(wèn)題�,因此沒(méi)有打算修補(bǔ)的規(guī)劃�。
但這并非有即時(shí)通信軟件因并未封鎖Python安裝文件直接執(zhí)行�,而被發(fā)現(xiàn)可被用于攻擊的情況。
今年4月�,有人于社交媒體網(wǎng)站X�、黑客論壇聲稱Windows版Telegram存在零時(shí)差漏洞,攻擊者可利用PYZW文件發(fā)動(dòng)攻擊�,起初Telegram表示無(wú)法確認(rèn)漏洞的存在�。后來(lái)黑客公布概念性驗(yàn)證(PoC)程序代碼�,Telegram表示他們針對(duì)服務(wù)器端進(jìn)行修補(bǔ)�,宣稱僅有不到0.01%用戶會(huì)受到影響。
閩公網(wǎng)安備 35010202001226號(hào)
