三星手机浏览器曝高危漏洞:数亿移动设备受影响

近日，来自Rapid7的安全研究人员发现，三星手机浏览器中存在一个高危漏洞，标识为CVE-2017-17692，能够允许攻击者在受害者访问恶意网站后窃取密码或cookie会话等重要信息。

一、CVE-2017-17692漏洞分析

据安全研究人员分析，该漏洞属于一个同源策略（SOP）漏洞，所谓的同源策略（Same-Origin Policy，SOP）是由美国计算机服务公司网景通信公司提出的一种安全策略，目前几乎所有支持JS的浏览器都会使用这一规范。

SOP策略的存在能够确保来自同一个网站的网页在互动访问的同时，防止用户被不相关的网站干扰，简单来说，它的存在能够确保来自一个源的JS代码不会访问另一个源网站的属性。

但存在于三星手机浏览器中的CVE-2017-17692漏洞，能够允许当用户通过浏览器执行一个JS操作时，打开一个指定域名的新标签，该JS代码可以在事后随意重写页面上的内容。

这一错误在浏览器设计中是绝对不被允许的一个错误，因为这意味着攻击者可以通过JS违反SOP协议，从其控制的站点中直接执行JS代码，然后对目标站点采取后续行动，比如说插入自定义JS、读取会话cookie的副本或劫持会话等。

二、CVE-2017-17692漏洞受影响用户达数亿

根据安全研究人员的说法， CVE-2017-17692漏洞存在于三星手机浏览器5.4.02.3版本或更早版本之中，这些版本的浏览器被预装在了数亿台三星Android设备上，这就意味着，受影响的用户数量可能已经达到了数亿之多。

当CVE-2017-17692漏洞被发现后，Rapid7公司立即向三星公司通报了该漏洞的技术细节，而三星方面也确实承认了该漏洞的存在，并表示，补丁会将在即将推出的Galaxy Note 8中预装，而针对浏览器应用的更新也会在未来发布。