04 Май

Новости

Уязвимость Windows Mobile 6.5 (устранена)

attention Уязвимость Windows Mobile 6.5 (устранена)

В начале апреля HTC HD2 и HTC Touch Pro2 получили по хотфиксу всплывающих Java-сообщений. Судя по описанию, патчи устраняли некоторую брешь в безопасности. Какую — на официальном сайте, по понятным причинам, не конкретизировали. И вот теперь, когда опасность миновала, информация появилась в публичном доступе.

«Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в функциональности предпросмотра SMS сообщений. Атакующий может передать специально сформированные SMS сообщения, что приведет к выполнению произвольного HTML или скрипт кода, содержащегося в SMS сообщениях.»

Например, отправьте SMS-сообщение со следующими сообщениями на WM-устройство, на котором включен предпросмотр sms (во всплывающем окне):

1. <html><head><meta http-equiv="refresh" content="0; URL=http://www.google.de/"></head></html>

2. <script>alert ('Thats evil')</script>

(можно использовать бесплатные SMS-сервисы операторов. Например, sms.mts.ru)

Если сообщение придет обычным текстом — значит уязвимость отсутствует. А появление, например, java-script окна с надписью «Thats evil» означает, что Ваш коммуникатор подвержен опасности.

Судя по описанию, в «группу риска» входят лишь HTC Touch Pro2 и HTC HD2 под управлением Windows Mobile 6.5. Другие коммуникаторы подвержены проблеме вряд ли.

Если же вы являетесь владельцем одной из указанных моделей и не устанавливали хотфикс, рекомендуем сделать это немедленно:

— хотфикс для HTC HD2

— хотфикс для HTC Touch Pro2

Если ранее информацией об уязвимости обладали единицы, то теперь она находится в публичном доступе, и ни один владелец не застрахован от злоумышленников или просто «экспериментаторов».

Внимание!

Данная информация приведена исключительно для ознакомления и в целях Вашей безопасности! Ни в коем случае не используйте уязвимость против других владельцев коммуникаторов! Любая ответственность за Ваши действия целиком и полностью лежит на Вас.

[via xakep&marc]

   
Также вам может быть интересно:
  1. Обнаружена очередная уязвимость Windows Mobile
  2. Уязвимость Windows Mobile — международные звонки
  3. Обнаружена уязвимость в коммуникаторах HTC с WM6 и WM6.1
  4. HotFix, устраняющий уязвимость Bluetooth в HTC Touch Diamond 2/Touch Diamond/Touch Pro/Touch HD/Touch 3G/Touch Cruise/S740
  5. HotFix, устраняющий уязвимость в Bluetooth-драйвере
Автор: Stempit
Категория: Новости
Комментарии на «Уязвимость Windows Mobile 6.5 (устранена)» (15 комментариев)
  1. musese 4 Май, 2010 17:38

    щас поставим...

  2. Lisnick 4 Май, 2010 17:51

    щас отправим...

  3. Lodo 4 Май, 2010 18:10

    щас посмотрим...

  4. google 4 Май, 2010 18:21

    щас посмотрим...

  5. De11 4 Май, 2010 18:51

    щас проверим...

  6. protoss5482 4 Май, 2010 18:53

    щас проверим...

  7. DEXX 4 Май, 2010 19:55

    щас поставим...

  8. Bod 4 Май, 2010 20:14

    щас поставим...

  9. GANZ 4 Май, 2010 20:37

    ЫЫЫЫЫ

  10. Clarion 4 Май, 2010 20:52

    для Diamond 2 тоже такой фикс на хтц.ком валяется.

  11. slavius 4 Май, 2010 21:56

    угу , проверим и посмотрим

  12. Fixmbr 5 Май, 2010 0:53

    2 Clarion

    Где ты его там видел? )

  13. BlaiR 5 Май, 2010 14:26

    Ну я проверил. У меня официальная прошивка 1.66. Послал смс второе с сайта и ява скрипт сообщения не вылезло. Просто текст.

  14. Alice-Surgut 7 Май, 2010 11:15

    А может ты и есть тот самый злоумышленник? :(

  15. Alice-Surgut 7 Май, 2010 11:52

    Шучу... щас проверим)))

Оставить комментарий