Apache Cordova For Android安全限制绕过漏洞(CVE-2014-3500)
Apache Cordova For Android安全限制绕过漏洞(CVE-2014-3500)
发布日期:2014-08-04
更新日期:2014-08-06
受影响系统:
Apache Group Cordova < 3.5.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 69038
CVE(CAN) ID: CVE-2014-3500
Apache Cordova是用HTML、CSS、JavaScript构建本地移动应用程序的平台。
Apache Cordova for Android 3.5.0及其他版本所构建的Android应用可以用特制的URL启动,起始页与开发者设计的不一样,在实现上存在跨应用脚本漏洞,攻击者可利用此漏洞绕过某些安全限制,执行未授权操作。
<*来源:David Kaplan
Roee Hay
链接:http://cordova.apache.org/announcements/2014/08/04/android-351.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://cordova.apache.org/
http://cordova.apache.org/announcements/2014/08/04/android-351.html
本文永久更新链接地址:
评论暂时关闭