• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 6ч 11м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

В приложении Galaxy Store для устройств Samsung была обнаружена уже исправленная уязвимость, которая может позволить удаленно выполнить код на уязвимых смартфонах.

Уязвимость, затрагивающая Galaxy Store версии 4.5.32.4, связана с ошибкой межсайтового скриптинга (XSS), возникающей при обработке определенных глубоких ссылок (Deeplink).

Согласно отчету SSD Secure Disclosure, когда пользователь получает доступ к ссылке с веб-сайта, содержащего ссылку на контент, злоумышленник может выполнить JavaScript-код в контексте веб-просмотра приложения Galaxy Store.

Проблема связана с тем, как настроены глубокие ссылки для Samsung Marketing & Content Service (MCS), что может привести выполнению произвольного кода, введенного на веб-сайте MCS. Это можно использовать для загрузки и установки дропперов на устройство Samsung при переходе по ссылке

По словам исследователей SSD Secure Disclosure, чтобы иметь возможность успешно использовать сервер жертвы, необходимо, чтобы HTTPS и CORS обходили Chrome.
 
Сверху