Kritisk sårbarhet i Apples App Store, iTunes avslöjade

symantec

En avgörande brist har upptäckts i Apples App Store och iTunes faktura system som skulle kunna resultera i sessionskapning och skadlig manipulation faktura.

Avslöjade i veckan av säkerhetsforskaren Benjamin Kunz Mejri från sårbarhets Lab, den ihållande injektion fel, anses kritisk, är ett program sidan validering av indata webb sårbarhet. I en rådgivande, sade forskaren sårbarheten tillåter angripare utifrån att injicera skadlig skriptkoder till bristfälliga innehåll funktion och servicemoduler.

Enligt Mejri kan en angripare utnyttja felet genom att manipulera ett namn värde (enhet cellnamn) i fakturamodulen genom ett utbyte av skadlig, skript kod. Om en produkt är köpt i Apples butiker, tar backend enhetens värde och kodar den med manipulerade villkor för att generera en faktura innan det skickas vidare till säljaren.

2015/06/08: Forskare Anmälan & Coordination (Benjamin Kunz Mejri), 2015/06/09: Vendor Anmälan (Apple Product Security Team), 2015 – ** – **: Vendor Response / Feedback (Apple Product Security Team); 2015 – ** – **: Vendor Fix / Patch Anmälan (Apple Developer team), 2015/07/27: offentliggörande (Vulnerability Laboratory)

Detta resulterar i applikationssidan script utförande inom Apple faktura. Felet har utfärdat en CvSs 5,8 Risknivå.

How do you försvinna på nätet? Följ dessa 10 steg för att komma igång.

Dessutom kan cyberattackers distans manipulera felet genom interaktion genom ihållande manipuleras sammanhang med andra Apple Store användarkonton, oavsett om de är avsändare eller mottagare. Forskaren säger

Den utnyttja kan användas för att kapa användarsessioner, lansera ihållande nätfiskeattacker, skapa ihållande omdirigeringar till externa källor och manipulera drabbade eller anslutna servicemoduler.

En video som visar en proof-of-concept (PoC) demo visas nedan. Forskaren publicerade också steg-för-steg-instruktioner för att utnyttja sårbarheten.

Mejri anmälde iPad och iPhone tillverkare av sårbarhets Lab upptäckt den 8 juni. Avslöjandet tidslinje är nedan.

Hur komma åt Wi-Fi anonymt från miles därifrån, hur man tar över räkenskaperna för brittiska politiker som använder offentliga Wi-Fi-hack, frågar Svår iOS bug icloud lösenord stöld, Hacking Lag: Vi kommer inte “skrumpna upp och försvinna” efter cyberattack, armén exoskelett utbilda soldater för att skjuta, Hackare styr medicinska pumpar för att administrera dödliga doser

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

Tidigare denna månad, Apple lappade en uppsjö av sårbarheter i iOS och OS X. Om exploaterade, sårbarheter tillåts för problem, bland annat fjärrkörning av kod, man-in-the-middle (MITM) attacker, programavslutning och avlyssning av krypterad trafik.

webbplatsen har nått ut till Apple och kommer att uppdatera om vi hör tillbaka.

Läs vidare: Top Picks

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund