三星设备Galaxy Store应用程序中披露了一个现已修补的安全漏洞,该漏洞可能会触发受影响手机上的远程命令执行。
该漏洞影响Galaxy Store版本4.5.32.4,与处理某些深层链接时发生的跨站点脚本 (XSS) 错误有关。据悉,通过不安全地检查深层链接,当用户从包含深层链接的网站访问链接时,攻击者可以在 Galaxy Store 应用程序的 webview 上下文中执行JS代码,XSS 攻击允许攻击者在从浏览器或其他应用程序访问网站时注入和执行恶意 JavaScript 代码。
Galaxy Store应用程序中发现的问题与如何为三星的营销和内容服务 ( MCS ) 配置深度链接有关,这可能导致注入 MCS 网站的任意代码可能导致其执行的情况。[阅读原文]