В платформе WebOS обнаружены серьезные уязвимости

Александр Панасенко 25 Ноября 2010 - 14:16

...

Независимые специалисты по информационной безопасности из компании SecTheory сообщили об обнаружении серьезных уязвимостей в мобильной операционной системе WebOS, работающей на смартфонах Palm. Потенциально эксплуатация уязвимостей может вызывать атаки на смартфон с целью удаленного контроля над устройством или создания бот-сети.

По словам специалистов по безопасности Орландо Барреры и Даниэля Эрреро, всего ими было найдено в WebOS три уникальных уязвимости, связанные с переполнением подсистемы работы с плавающей запятой, с ошибкой, позволяющей проводить DDOS-атаку, а также с XSS-уязвимостью. Сейчас точных сведений о проблемах в SecTheory не раскрывают, обещая сделать это в рамках открывающейся сегодня в США Austin Hacker Association в Техасе.

Орландо Баррера говорит, что использовать обнаруженные ими уязвимости потенциальные злоумышленники могут самыми разными способами. "К примеру, использование XSS-уязвимости может привести к следующим атакам: удаленному вторжению и контролю, за счет использования JavaScript для динамической модификации функций устройства. Кроме того, атаки позволяют создать из взломанных аппаратов настоящую бот-сеть, которую злоумышленники могут удаленно контролировать", - говорит Баррера.

Также он отметил, что их группе исследователей удалось использовать XML HTTP-запросы для доступа к локальной файловой системе смартфона через локальный адрес localhost, что также представляет опасность удаленного вмешательства в файловую систему смартфона.

"Все перечисленные атаки позволяют злоумышленникам использовать смартфон в своих интересах и похищать данные пользователей, в том числе их контакт-листы, почтовые и короткие сообщения, хеши паролей и прочие незашифрованные данные", - говорит Баррера.

По его словам, исследователи накануне оглашения информации убедились, что система атак работает на операционных системах WebOS 1.4 - 2.0.

Источник

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 21:33

Уязвимости программ Домашние пользователи Корпорации

В GitHub нашли критическую дыру: можно было получить доступ к репозиториям

Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.

Суть уязвимости была в ошибке обработки пользовательских параметров при git push.

Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.

Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.

GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.

Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!