在 Cordova 的 Android 平台上發現了一個重大的安全性問題。我們正在發布 Cordova Android 4.0.2 版本來解決這些安全性問題。我們建議所有使用 Cordova 4.0.x 或更高版本建構的 Android 應用程式都升級到 Cordova Android 4.0.2 版本。如果您使用的是舊版本的 Cordova,我們也發布了包含相同修復的 3.7.2 版本,並建議您將專案升級到這兩個已修復的版本中的任何一個。其他 Cordova 平台(如 iOS)不受影響,並且沒有更新。
當使用 Cordova CLI 時,使用 Cordova Android 4.0.2 的指令是
cordova platform add android@4.0.2
而使用 3.7.2 的指令是
cordova platform add android@3.7.2
此安全性問題是 CVE-2015-1835
為了您的方便,這裡包含 CVE 的文字。
CVE-2015-1835:遠端攻擊 Apache Cordova on Android 中的次要設定變數
嚴重性:高
供應商:The Apache Software Foundation
受影響版本:Cordova Android 版本最高至 4.0.1(不包括 3.7.2)
描述:使用 Cordova 框架建構且在 Config.xml 中沒有明確設定值的 Android 應用程式,可以透過 Intent 設定未定義的設定變數。這可能會導致應用程式中出現不必要的對話框,以及應用程式行為的變更,包括應用程式強制關閉。
最新版本的 Cordova Android 完全移除了通過 intents 設定設定參數的能力。此變更屬於平台中的 API 變更,使用 config.xml 中設定值的第三方外掛程式應確保它們使用偏好設定 API,而不是依賴 Intent bundle,因為後者在這種情況下可以被操控。
升級路徑:關心此問題的開發人員應使用 Cordova Android 4.0.2 重建其應用程式。無法升級到 4.0.2 的開發人員也可以選擇升級到 Cordova Android 3.7.2。開發人員還應確保他們希望保護的變數已在 config.xml 中指定。
致謝:此問題由 TrendMicro Mobile Threat Research Team (TRT) 的 Seven She 發現