Podatność w przeglądarce Whale Browser umożliwia atakującemu ucieczkę z piaskownicy iframe w środowisku z dwoma zakładkami (dual-tab). Jest to krytyczna luka, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie może prowadzić do pełnego naruszenia poufności, integralności i dostępności danych.
▸ Pokaż oryginał (EN)
Whale Browser before 4.33.325.17 allows an attacker to escape the iframe sandbox in a dual-tab environment.
Błąd sklasyfikowany jako CWE-358 (Improperly Implemented Security Check for Standard) polega na nieprawidłowej implementacji mechanizmu izolacji sandbox dla elementu iframe w kontekście środowiska dual-tab przeglądarki Whale. Atakujący może spreparować odpowiednie warunki w środowisku z dwoma zakładkami, które powodują, że ograniczenia nałożone przez sandbox iframe nie są prawidłowo egzekwowane. W efekcie kod uruchomiony wewnątrz izolowanej ramki może wyjść poza jej granice.
Skuteczne wykorzystanie podatności pozwala atakującemu na ominięcie mechanizmów izolacji iframe sandbox, co może skutkować nieautoryzowanym dostępem do zasobów przeglądarki, danych innych kart lub wykonaniem niezamierzonego kodu poza środowiskiem sandbox.
Należy jak najszybciej zaktualizować przeglądarkę Whale Browser do wersji 4.33.325.17 lub nowszej, w której podatność została naprawiona. Szczegółowe informacje dostępne są w referencjach producenta pod adresem https://cve.naver.com/detail/cve-2025-62583.html
Navercorp Whale Browser w wersjach wcześniejszych niż 4.33.325.17
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNavercorp Whale
APPNavercorp< 4.33.325.17
Powiązane podatności
Whale Browser — ucieczka z iframe sandbox w środowisku sidebar
XSS w Whale Browser dla iOS — wykonanie złośliwych skryptów przez schemat javascript
Whale Bridge, a default extension in Whale browser before 3.12.129.18, allowed to receive any SendMessage requ...
Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment.
Whale browser before 4.33.325.17 allows an attacker to bypass the Content Security Policy via a specific schem...