[-Fx-] android版firefox有遠端開啟網址的漏洞

作者: sam613 (Hikaru)   2020-09-21 20:23:16
android版firefox v68.11.以下的版本因為SSDP通訊協定的bug,
造成在同一個網域下可以遠端開啟任意網址
https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/red-team-tech-notes/-/tree/master/firefox-android-2020
(https://bit.ly/2RRBa6F )
在示範影片中使用tel://網址可以直接呼叫撥打電話,
當然也可以執行USSD code
類似的風險可能會發生在例如機場或飯店使用wifi時遭受遠端攻擊等
作者: kyrc (橘子)   2020-09-21 22:06:00

Links booklink

Contact Us: admin [ a t ] ucptt.com