c.m.g
28-01-2009, 08:54
27 gennaio 2009
La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA33598 (http://secunia.com/advisories/33598/)) in cui si spiega che è stata trovata una vulnerabilità in Microsoft Windows Mobile, giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per divulgare informazioni sensibili senza autorizzazione e bypassare alcune restrizioni di sicurezza.
La vulnerabilità è insita in un errore di input validation error nella funzione Bluetooth OBEX FTP server. Questo bug può essere sfruttato per scaricare o uplodare, sul cell dove gira il sistema operativo fallato, files arbitrari al di fuori della directory root attraverso attacchi di tipo directory traversal.
Lo sfruttamento con sucesso richiede un accesso in lettura e scrittura della funzione OBEX.
Versione sistema operativo fallato:
Microsoft Windows Mobile 6.x
Soluzione:
Permettere l'accesso di dispositivi via bluetooth sono ad apparecchi autorizzati. Al momento non esiste nessun aggiornamento rilasciato dalla casa madre che risolva il problema.
Falla scoperta da:
Alberto Moreno Tablado
Advisory d'origine:
http://www.seguridadmobile.com/windows-mobile/windows-mobile-security/Microsoft-Bluetooth-Stack-Directory-Traversal.html
Fonte: Secunia (http://secunia.com/advisories/33598/)
La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA33598 (http://secunia.com/advisories/33598/)) in cui si spiega che è stata trovata una vulnerabilità in Microsoft Windows Mobile, giudicata dalla stessa come Less critical, che potrebbe essere sfruttata da malintenzionati per divulgare informazioni sensibili senza autorizzazione e bypassare alcune restrizioni di sicurezza.
La vulnerabilità è insita in un errore di input validation error nella funzione Bluetooth OBEX FTP server. Questo bug può essere sfruttato per scaricare o uplodare, sul cell dove gira il sistema operativo fallato, files arbitrari al di fuori della directory root attraverso attacchi di tipo directory traversal.
Lo sfruttamento con sucesso richiede un accesso in lettura e scrittura della funzione OBEX.
Versione sistema operativo fallato:
Microsoft Windows Mobile 6.x
Soluzione:
Permettere l'accesso di dispositivi via bluetooth sono ad apparecchi autorizzati. Al momento non esiste nessun aggiornamento rilasciato dalla casa madre che risolva il problema.
Falla scoperta da:
Alberto Moreno Tablado
Advisory d'origine:
http://www.seguridadmobile.com/windows-mobile/windows-mobile-security/Microsoft-Bluetooth-Stack-Directory-Traversal.html
Fonte: Secunia (http://secunia.com/advisories/33598/)