跳至主內容

Google Android 瀏覽器存取權限漏洞

最後更新 2014年09月19日 發佈日期: 2014年09月18日 1137 觀看次數

風險: 高度風險

類型: 操作系統 - 流動裝置及操作系統

類型: 流動裝置及操作系統

在 Google Android 瀏覽器發現漏洞。遠端使用者可繞過同源政策。

 

遠端使用者可建立特製的 HTML,當目標用戶載入時,導致任意程式碼在目標用戶的瀏覽器上執行。該程式碼會在任意網域的保安環境下執行。因此,該程式碼能夠存取與網站關聯的目標用戶的 cookie (包括驗證 cookie)、存取由目標用戶透過網頁表單傳遞至網站的資料,或者偽冒目標用戶網站內執行動作。

 

以空字串開首的 'javascript:' 呼叫能夠存取與母視窗不同來源的頁框的 document.body.innerHTML 屬性。

 

注意: 暫時未有修補程式提供。


影響

  • 資料洩露
  • 篡改

受影響之系統或技術

  • Android 4.4 之前的版本

解決方案

  • 注意: 暫時未有修補程式提供。

漏洞識別碼


資料來源


相關連結