Podatność w przeglądarce Whale Browser dla systemu iOS umożliwia atakującemu wykonanie złośliwych skryptów w kontekście przeglądarki poprzez spreparowany schemat javascript. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko, ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Whale browser for iOS before 3.9.1.4206 allow an attacker to execute malicious scripts in the browser via a crafted javascript scheme.
Atakujący dostarcza ofierze specjalnie spreparowany URL lub treść zawierającą złośliwy schemat javascript. Przeglądarka Whale Browser dla iOS nieprawidłowo waliduje lub przetwarza taki schemat, co pozwala na wykonanie dowolnego kodu JavaScript w kontekście sesji przeglądarki. Mechanizm odpowiada klasycznej podatności XSS (Cross-Site Scripting), gdzie brak odpowiedniej filtracji wejścia umożliwia wstrzyknięcie i uruchomienie złośliwego skryptu.
Atakujący może wykonać dowolny skrypt JavaScript w kontekście przeglądarki ofiary, co może prowadzić do kradzieży danych sesji, danych uwierzytelniających, a także naruszenia poufności i integralności danych przetwarzanych w przeglądarce.
Należy zaktualizować Whale Browser dla iOS do wersji 3.9.1.4206 lub nowszej, dostępnej w App Store. Zaleca się niezwłoczne wdrożenie aktualizacji na wszystkich urządzeniach z systemem iOS, na których zainstalowana jest przeglądarka Whale.
Whale Browser dla iOS w wersjach przed 3.9.1.4206
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNavercorp Whale
APPNavercorp< 3.9.1.4206
Powiązane podatności
Whale Browser — ucieczka z iframe sandbox w środowisku sidebar
Whale Browser: ucieczka z iframe sandbox w środowisku dual-tab
Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage requ...
Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment.
Whale browser before 4.33.325.17 allows an attacker to bypass the Same-Origin Policy in a dual-tab environment...