Post #4111

Плохой мальчик В набирающем популярность аналоге Postman — Bruno Desktop обнаружили баг, позволяющий исполнять произвольный код. При клике на ссылку внутри документации коллекции активируется метод shell.openExternal() и открывает системную команду. Хакеры могут внедрять конструкции и открывать приложения, например, /System/Applications/Calculator.app на macOS и Linux или calc.exe на Windows, и при клике атака переходит на новый уровень с доступом к окружению. Хотя проблему уже устранили в свежем билде, на скорость обновления приложения пользователями надеяться не приходится. Некоторые особо изощрённые примеры включают вызов Apple Reminders, FaceTime или даже SMB-протокол для загрузки скриптов. НеКасперский