В новом тачпаде HP TouchPad обнаружена уязвимость, позволяющая инжектировать код в приложение Contacts. Использована уязвимость может быть для формирования мобильных ботнетов или же для кражи информации.
Уязвимость в тачпаде нашел Орландо Баррера, в конце недели он опубликовал proof-of-concept, эксплуатирующий эту уязвимость в WebOS 3.0, заявляет, что его последнее исследование, использующее XSS для внедрения кода в приложение, связано с уязвимостями, которые он обнаружил в ранней версии WebOS компании HP. Тогда, в ноябре, Барерра и его товарищ-исследователь Даниэл Херрера сообщили о своих находках, связанных с тем, что графа "Company" в приложении Contacts не имела достаточной проверки, что позволило им ввести код, позволяющий полностью получить базу данных Palm - переписку, адреса e-mail, контакты и т.д.
Баррера объясняет, что опубликовал XSS PoC потому, что это показывает, насколько просто взломать платформу, но он не хотел предоставлять информацию для хакеров-дилетантов о том как, например, скомпрометировать PDF reader на устройстве или совершить на нем атаку переполнения буфера.
"В теории, ты можешь даже попытаться создать бот-сеть используя эти уязвимости против нескольких пользователей WebOS и тайно внедряя JavaScript", - объясняет Баррера.
1Спешу поделиться новостью с вами!(18.07.2013 10:45)
0
Всех приветствую! :) Вам уже знакома социальная сеть - ГДЕ И ВСЕ? Это инновационная сеть! Регистрируйся и получай деньги на свой счет! 120 тыс. в месяц, это не предел. Абсолютно все участники объеденины в единую сеть и безвозмездно помогают нуждающимся. Я не зазываю, но это супер проект, если вам интересно, и хотите стать финансово независимыми, то узнайте подробнее - http://www.gdeiwse.ru