Összefoglaló
A Palm WebOS olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) támadások indítására és bizonyos biztonsági korlátozások megkerülésére.
Leírás
- Az Email alkalmazás nem ellenőriz megfelelően bizonyos bemenetet, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra.
- Egy nem részletezett hiba a Plug-in Development Kit (PDK) alkalmazásokkal kihasználható írási jogosultság szerzésére a fájlrendszerhez és tetszőleges fájlok felülírására.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, amennyiben a felhasználó telepít egy rosszindulatú alkalmazást.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: h20000.www2.hp.com
SECUNIA 44518
CVE-2011-1737 - NVD CVE-2011-1737
CVE-2011-1738 - NVD CVE-2011-1738