Windows 版 WhatsApp 准许 Python、PHP 脚本在无任何提示下执行
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-axegupay5k/28e3c81e30314e348ba0bdc74480c077~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728207541&x-signature=l5SIBxcrK3lSkg%2FZrAD5WhkVyfU%3D" style="width: 50%; margin-bottom: 20px;"></div>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">WhatsApp for Windows 最新版本中存在一个安全问题,<span style="color: black;">准许</span>发送 Python 和 PHP 附件,当收件人打开这些附件时,这些附件会在<span style="color: black;">无</span>任何警告的<span style="color: black;">状况</span>下执行。要成功攻击,需要安装 Python,这一先决<span style="color: black;">要求</span>可能会将<span style="color: black;">目的</span>限制在软件<span style="color: black;">研发</span>人员、<span style="color: black;">科研</span>人员和高级用户。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">该问题与 4 月份影响 Windows 版 Telegram 的问题类似,该问题最初被拒绝但后来得到修复,攻击者<span style="color: black;">能够</span>在<span style="color: black;">经过</span><span style="color: black;">信息</span>传递客户端发送 Python .pyzw 文件时绕过安全警告并执行远程代码执行。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">WhatsApp 屏蔽了多种被认为对用户有<span style="color: black;">危害</span>的文件类型,但该<span style="color: black;">机构</span>不打算将 Python 脚本添加到列表中且PHP 文件 (.php) <span style="color: black;">亦</span>不<span style="color: black;">包括</span>在 WhatsApp 的阻止列表中。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">Python、PHP 脚本未被阻止</strong></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">安全<span style="color: black;">科研</span>员 Saumyajeet Das 在<span style="color: black;">实验</span><span style="color: black;">能够</span>附加到 WhatsApp 对话中的文件类型时<span style="color: black;">发掘</span>了此漏洞,以查看该应用程序<span style="color: black;">是不是</span><span style="color: black;">准许</span>任何有<span style="color: black;">危害</span>的文件。当发送潜在危险的文件(例如 .EXE)时,WhatsApp 会<span style="color: black;">表示</span>该文件并为收件人<span style="color: black;">供给</span>两个选项:打开或另存为。</p>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/a34154fef1a04bd5a2d616a97e424509~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728207541&x-signature=N2G2I5JwjyTecOsUjmXIWCvUUag%3D" style="width: 50%; margin-bottom: 20px;"></div>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">WhatsApp 的可执行文件选项</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">然则</span>,当尝试打开文件时,WhatsApp for Windows 会生成错误,用户只能<span style="color: black;">选取</span>将文件<span style="color: black;">保留</span>到磁盘并从那里<span style="color: black;">起步</span>它。在测试中,<span style="color: black;">运用</span> WhatsApp for Windows 客户端时,此<span style="color: black;">行径</span>与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型一致。Das <span style="color: black;">发掘</span> WhatsApp 还会阻止 .DLL、.HTA 和 VBS 的执行。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">针对</span>所有这些程序,当尝试<span style="color: black;">经过</span>单击“打开”直接从应用程序<span style="color: black;">起步</span>它们时,都会<span style="color: black;">出现</span>错误,<span style="color: black;">仅有</span>先<span style="color: black;">保留</span>到磁盘后<span style="color: black;">才可</span>执行它们。</p>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p26-sign.toutiaoimg.com/tos-cn-i-6w9my0ksvp/85f663048f464e3fb392b7bf1b540559~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1728207541&x-signature=Q0ocGFLN6xDvXkdP%2F7CB3BFCVpg%3D" style="width: 50%; margin-bottom: 20px;"></div>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">从 WhatsApp 客户端<span style="color: black;">起步</span> .EXE 失败</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Das 在接受采访时<span style="color: black;">暗示</span>,他<span style="color: black;">发掘</span> WhatsApp 客户端不会阻止三种文件类型<span style="color: black;">起步</span>:.PYZ(Python ZIP 应用程序)、.PYZW(PyInstaller 程序)和 .EVTX(Windows 事件日志文件)。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">测试证实,WhatsApp 不会阻止 Python 文件的执行,并<span style="color: black;">发掘</span> PHP 脚本<span style="color: black;">亦</span>会<span style="color: black;">出现</span><span style="color: black;">一样</span>的<span style="color: black;">状况</span>。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">倘若</span>所有资源都存在,接收者只需单击接收文件上的“打开”按钮,脚本就会执行。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Das 于 6 月 3 日向 Meta 报告了该问题,该<span style="color: black;">机构</span>于 7 月 15 日回复<span style="color: black;">叫作</span>,另一位<span style="color: black;">科研</span>人员<span style="color: black;">已然</span>报告了该问题。<span style="color: black;">日前</span>。该漏洞仍然存在于适用于 Windows 的最新 WhatsApp 版本中,<span style="color: black;">咱们</span><span style="color: black;">能够</span>在 Windows 11 v2.2428.10.0 上对此多加<span style="color: black;">重视</span>。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">关联</span><span style="color: black;">媒介</span>企图联系 WhatsApp,以澄清驳回<span style="color: black;">科研</span>人员报告的<span style="color: black;">原由</span>,一位发言人解释说,<span style="color: black;">她们</span>不认为这是<span style="color: black;">她们</span>的问题,<span style="color: black;">因此呢</span><span style="color: black;">无</span>修复计划。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">该<span style="color: black;">机构</span><span style="color: black;">表率</span>解释说,WhatsApp 有一个系统,当用户收到不在其联系人列表中的用户或<span style="color: black;">tel</span>号码在其他国家/地区注册的用户发送的<span style="color: black;">信息</span>时,会发出警告。然而,<span style="color: black;">倘若</span>用户的帐户被劫持,攻击者<span style="color: black;">能够</span>向联系人列表中的<span style="color: black;">每一个</span>人发送恶意脚本,这些脚本<span style="color: black;">更易</span>直接从<span style="color: black;">信息</span>应用程序中执行。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">另外</span>,这些类型的附件可能会发布到公共和私人聊天组中,威胁者可能会<span style="color: black;">乱用</span>这些聊天组来传播恶意文件。在<span style="color: black;">回复</span> WhatsApp 拒绝该报告时,Das 对该项目处理这种<span style="color: black;">状况</span>的方式<span style="color: black;">暗示</span>失望。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">其实只需将 .pyz 和 .pyzw 扩展名添加到阻止列表中,Meta 便<span style="color: black;">能够</span>阻止<span style="color: black;">经过</span>这些 Pythonic zip 文件进行的潜在攻击。<span style="color: black;">经过</span><span style="color: black;">处理</span>该问题,WhatsApp 不仅<span style="color: black;">能够</span><span style="color: black;">加强</span>其用户的安全性,还<span style="color: black;">能够</span><span style="color: black;">显示</span><span style="color: black;">她们</span>致力于<span style="color: black;">快速</span><span style="color: black;">处理</span>安全问题的良好态度。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><span style="color: black;">相关</span><span style="color: black;">媒介</span>联系了 WhatsApp,提醒<span style="color: black;">她们</span> PHP 扩展<span style="color: black;">亦</span><span style="color: black;">无</span>被阻止,但<span style="color: black;">日前</span>尚未收到其回复。</p>
“板凳”(第三个回帖的人) 楼主的文章深得我心,表示由衷的感谢!
页:
[1]