Összefoglaló
A Vulnerability Lab felfedezett egy applikáció-oldali hibát, ami az Apple App Store és iTunes store online webes szolgáltatásait érintette.
Leírás
A sérülékenység a számlázási modul device-cell és type cell bemeneti paraméterek nem megfelelő ellenőrzéséből fakadt, és káros szkript beszúrására adhatott lehetőséget.
A támadók ezen keresztül képesek lehettek elérni, hogy a káros kód először (eladói kontextusban) lefusson, majd, hogy a vásárlások után generálódó legitim számlákba is bekerüljön, amely e-mail útján (*@email.apple.com) jut el a vásárlókhoz és az eladókhoz.
A hibát felfedező csoport szerint a probléma már javításra került.
Megoldás
Az Apple már befoltozta a hibát.
Támadás típusa
Command InjectionCross Site Scripting (XSS/CSS)
Hijacking (Visszaélés)
Input Validation
Input manipulation (Bemenet módosítás)
Manipulation of data
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.zdnet.com
Egyéb referencia: www.vulnerability-lab.com