◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
研究人员随后发现,他们能够在origin://网址的title参数中,执行客户端模板注入攻击,从而绕过AngularJS沙箱,在使用者电脑上执行任意程序。
Bee及Penner设计了一个概念性验证攻击程序,通过点击一个恶意链接,就可启用Origin,同时还能启动Windows系统自带的计算器。
【最主要的是,此漏洞允许骇客窃取使用者的帐号凭证,或传送恶意的PowerShell命令,最糟的状况可能导致系统被掌控。此漏洞只影响Windows版的Origin用户,并未波及Mac版Origin用户,所幸EA现在放出了更新程序。】
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。