Софтодром   
Программы
Windows Windows   Linux Linux
Android Android   iOS iPhone

Новости Форумы


В браузерах Dolphin и Mercury обнаружены уязвимости



Новости    Программы


В браузерах Dolphin и Mercury обнаружены уязвимости


В двух относительно популярных альтернативных браузерах для операционной системы Android, Dolphin и Mercury, обнаружены уязвимости, эксплойт которых чреват удаленным исполнением кода или чтением/записью произвольных файлов. Как сообщает «Лаборатория Касперского», отчет и PoC-эксплойты для обнаруженных уязвимостей опубликовал ИБ-исследователь Бенджамин Уатсон (Benjamin Watson), известный под псевдонимом Rotlogix.

При условии, что атакующий и целевой пользователь находятся в общей сети, атакующий сможет воспользоваться уязвимостью в браузере Dolphin, когда пользователь скачает и установит новую тему для браузера.

Изучив код браузера, Rotlogix обнаружил, что тот обладает возможностью распаковывать и устанавливать файлы тем. Эксперт также обнаружил, что если загружаемый трафик был пущен через прокси, то в него можно внедрить модифицированную тему, и таким образом получить возможность совершать запись произвольных файлов в директорию, используемую браузером. Он отметил, что если при это создать специальную библиотеку и перезаписать её поверх оригинальной можно получить возможность «беспрепятственно исполнять произвольный код».

В опубликованном в блоге эксперта посте говорится, что разработчикам Dolphin было известно об этой уязвимости. На просьбу прокомментировать ситуацию, представитель компании в понедельник ответил, что разработка фикса идет полным ходом.

Браузер Dolphin, разработанный и поддерживаемый компанией Mobotap, Inc. из Сан-Франциско, был установлен 50-100 млн. раз, и является наиболее популярным альтернативным браузером для Android после Chrome и Firefox. В минувший понедельник для браузера вышло обновление, однако не ясно содержало ли оно фикс для уязвимости удаленного исполнения кода.

По словам эксперта, проблема в другом браузере, Mercury, разрабатываемом компанией iLegendSoft Inc., связана с плохой реализацией схемы Intent URI и уязвимостью типа path traversal (PT). Баги в Mercury кроются в его функции WiFi Transfer. Со слов исследователя эксплойт уязвимости возможен при помощи вредоносной HTML-страницы и позволяет атакующему «запускать частные объекты типа Activity».

После детального изучения проблемы Rotlogix обнаружил, что при помощи PT-уязвимости возможно не только считывать данные из директории браузера, но и загружать, выгружать и заменять определенные файлы.



Автор: Softodrom.ru
Дата:

Новое: Программы
30.05.2025 17:11

Боярский рассказал о проекте национального мессенджера

По словам авторов законопроекта, это будет уникальное приложение, которое во многом продолжает логику развития всей национальной цифровой системы


30.05.2025 16:28

Песков оценил законопроект о национальном мессенджере

В Госдуму внесли законопроект о создании национального цифрового сервиса, который объединит возможности мессенджера и функции государственных сервисов


06.05.2025 06:21

Microsoft закрыла Skype спустя 22 года работы

Принадлежащий компании Microsoft сервис для видеозвонков Skype официально прекратил работу


30.04.2025 15:40

В приложении Яндекс Маркета появился AI-ассистент на базе нейросети YandexGPT 5 Pro

В приложении Яндекс Маркета появился ассистент на базе искусственного интеллекта, который поможет покупателям


28.04.2025 15:20

Яндекс Браузер научился передавать оригинальные голоса и интонации при переводе видео

Благодаря использованию нейросетей Яндекс Браузер теперь умеет передавать оригинальные голоса и интонации при переводе видео


Популярное: Программы
26.11.2017 04:13

Программы или приложения: как правильно?

Софтодром решил вспомнить те вышедшие из употребления слова, которые имеют отношение к информационным технологиям


29.11.2017 02:28

Что такое Portable-приложения

Софтодром рассказывает о том, что такое портативные приложения и в чем их преимущества перед непортативными


22.10.2023 21:43

Топ-20 лучших бесплатных программ для компьютера на Windows

Софтодром представляет подборку из 20 лучших бесплатных программ для компьютера на Windows в различных категориях


03.12.2017 01:04

Как скрыть папку на компьютере

Софтодром рассказывает о различных способах, которые позволяют скрыть папку или отдельные файлы в Windows


25.11.2017 23:25

Чем бесплатные программы отличаются от бесплатных программ

Софтодром попытался разобраться, почему некоторые бесплатные программы бесплатнее, чем другие, и существуют ли вообще бесплатные программы


Новости / Программы
Все рубрики статей (1406 / 236):


Программы | Авторам | Рассылки | Реклама
Copyright © 1999-2025 Softodrom.ru
О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта