Veszélyes XSS sérülékenység az Android Marketen

Elhamarkodottan cselekedet Jon Oberheide biztonsági szakértő, mikor jelentette az általa az Android Marketben felfedezett igen jelentős XSS sérülékenységet. Akár 15000$ is üthette volna a markát, ha a sérülékenységet nevezi a hamarosan kezdődő 2011-es Pwn2Own versenyre.

A biztonsági rés egyszerűsége már-már zavarbaejtő. Ha feltöltünk egy alkalmazást az Android Marketre és egy tetszőleges szkriptet helyezünk el annak leírásában aminek segítségével akár alkalmazást is telepíthetünk a telefonra. Igaz ugyan, hogy az alkalmazás ilyenkor még nem indul el, de a telepítéskor beköthetők különböző eseménykezelők, amik automatikusan elindíthatják a potenciálisan rosszindulatú kódot. Így két alkalmazás egymásra építésével bármilyen kód futtatható az áldozat készülékén, gyakorlatilag annak tudta nélkül.

A sérülékenység jellegéből fakadóan verziófüggetlen és nagy megbízhatósággal kihasználható, így jó esélye indult volna a Pwn2Own versenyen melynek fődíja 15000$. A bejelentést követően a Google már javította is a hibát, Jon-nak pedig be kellett érnie a Google általános hibavadász programja által meghatározott 1337$-val.

http://jon.oberheide.org/blog/2011/03/07/how-i-almost-won-pwn2own-via-xss/


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »