c.m.g
24-11-2008, 17:15
24 novembre 2008
La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA32852 (http://secunia.com/advisories/32852/)) in cui si spiega che è stata trovata una vulnerbilità in iPhone Configuration Web Utility. giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per divulgare informazioni sensibili ed accedere al file system dell'apparecchio.
Il bug è causato da un errore di validazione in input quando si processa le richieste HTTP GET. Questo può essere sfruttato da malintenzionati per accedere arbitrariamente ai file dell'apparecchio vulnerabile attraverso la tecnica di attacco directory traversal.
La vulnerabilità è stata confermata in iPhone Configuration Web Utility per Windows versione 1.0 (v100.22). Non si esclude che altre versioni siano affette dal medesimo bug.
Soluzione:
Al momento non esistono patch o nuove versioni del programma che risolvono il problema, quindi si raccomanda di limitare l'accesso alla rete per l'applicazione.
Falla scoperta da:
Corey LeBleu and r@b13$ of Digital Defense, Inc. Vulnerability Research Team
Advisory d'origine:
http://lists.grok.org.uk/pipermail/full-disclosure/2008-November/065822.html
Fonte: Secunia (http://secunia.com/advisories/32852/)
La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA32852 (http://secunia.com/advisories/32852/)) in cui si spiega che è stata trovata una vulnerbilità in iPhone Configuration Web Utility. giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per divulgare informazioni sensibili ed accedere al file system dell'apparecchio.
Il bug è causato da un errore di validazione in input quando si processa le richieste HTTP GET. Questo può essere sfruttato da malintenzionati per accedere arbitrariamente ai file dell'apparecchio vulnerabile attraverso la tecnica di attacco directory traversal.
La vulnerabilità è stata confermata in iPhone Configuration Web Utility per Windows versione 1.0 (v100.22). Non si esclude che altre versioni siano affette dal medesimo bug.
Soluzione:
Al momento non esistono patch o nuove versioni del programma che risolvono il problema, quindi si raccomanda di limitare l'accesso alla rete per l'applicazione.
Falla scoperta da:
Corey LeBleu and r@b13$ of Digital Defense, Inc. Vulnerability Research Team
Advisory d'origine:
http://lists.grok.org.uk/pipermail/full-disclosure/2008-November/065822.html
Fonte: Secunia (http://secunia.com/advisories/32852/)