首页保安PlayStation Now错误允许网站在...上执行恶意代码

PlayStation Now错误使网站可以在Windows PC上执行恶意代码

在PlayStation Now(PS Now)Windows游戏应用程序中检测到的安全漏洞使入侵者能够在运行应用程序漏洞版本的Windows设备上执行任意代码。

截至2,2年2020月,PlayStation Now现已达到XNUMX万订户。

错误猎人Parsia Hakimian发现的漏洞影响了运行Windows 11.0.2 SP7或更高版本的计算机上的PS Now 1(及更高版本) .

哈基米安(Hakimian)于13年2020月XNUMX日通过HackerOne上的官方PlayStation错误赏金计划报告了PS Now错误。 PlayStation遇到错误,并将错误报告标记为“已解决” 之后,即25年2020月XNUMX日。

即使他提交的报告超出了范围,他也获得了15.000美元的赏金,也就是说,这影响了Windows应用程序,而不是程序中包含的目标资产之一 虫子赏金 (PlayStation 4和PlayStation 5系统,操作系统,配件或PlayStation网络。)

现在的PlayStation

不安全的Electron应用程序使用户容易受到RCE攻击

Hakimian发现严重的安全问题允许未经授权的人 入侵者 发起远程代码执行攻击(RCE的)滥用无法导入 代码.

入侵者可以通过本地服务器在PS NOW用户的计算机上执行恶意代码 WebSocket的.

这是可能的,因为Websocket服务器在其设备上“已启动” 目标 不运行任何Origin标头,也不请求原始检查。

为了成功利用RCE错误,入侵者必须说服PS NOW用户要破坏其设备才能使用恶意软件打开专门设计的网站 链接 通过渠道提供 Discord,论坛, 网络钓鱼邮件 电子邮件等

在其计算机上的任何Web浏览器中打开后,恶意脚本将连接到本地WebSocket服务器,并要求AGL应用程序从另一个服务器加载恶意Node代码。 网站 并处决他 设备目标.

spot_img

实时新闻