综述

近日,国外研究员发现了UC浏览器潜在的一个漏洞,可能会影响全球范围内上亿用户。研究人员发现UC浏览器中存在一个隐藏功能,该功能绕过了一些应用商店限制,可以从网上下载一些备用组件并执行。该功能用于给客户端添加新功能或者升级,但是也可以被中间人攻击利用。例如,当用户使用UC浏览器下载一份PDF文件并尝试打开浏览时,攻击者可以利用中间人攻击使浏览器下载一个恶意的文件并最终执行。

详细漏洞信息可参考:

https://vms.drweb.com/search/?q=UC%20Browser

受影响的版本

目前UC浏览器移动手机版以及桌面版均受影响。

解决方案

截止本文发布前,UC浏览器官方还未修复此问题,建议用户暂时尽量避免使用UC浏览器,并在官方发布更新后,尽快升级进行修复。

参考链接

https://www.bleepingcomputer.com/news/security/uc-browser-for-android-desktop-exposes-500-million-users-to-mitm-attacks/

https://news.drweb.com/show/?i=13176&lng=en

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

声明:本文来自绿盟科技,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。