Összefoglaló
A Vulnerability Lab felfedezett egy applikáció-oldali hibát, ami az Apple App Store és iTunes store online webes szolgáltatásait érintette.
Leírás
A sérülékenység a számlázási modul device-cell és type cell bemeneti paraméterek nem megfelelő ellenőrzéséből fakadt, és káros szkript beszúrására adhatott lehetőséget.
A támadók ezen keresztül képesek lehettek elérni, hogy a káros kód először (eladói kontextusban) lefusson, majd, hogy a vásárlások után generálódó legitim számlákba is bekerüljön, amely e-mail útján (*@email.apple.com) jut el a vásárlókhoz és az eladókhoz.
A hibát felfedező csoport szerint a probléma már javításra került.
Megoldás
Az Apple már befoltozta a hibát.
Támadás típusa
Command InjectionCross Site Scripting (XSS/CSS)
Hijacking (Visszaélés)
Input Validation
Input manipulation (Bemenet módosítás)
Manipulation of data
Redirecting traffic
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.zdnet.com
Egyéb referencia: www.vulnerability-lab.com