|
|
Palm WebOS邮件通知系统和日历应用HTML注入漏洞
受影响系统:
Palm webOS 1.0.4
Palm webOS 1.0.3
不受影响系统:
Palm webOS 1.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 35932
Palm WebOS是Palm系列手机所使用的操作系统。
如果Palm WebOS启用了通知系统的话,远程攻击者就可以创建FROM字段中包含有HTML代码的恶意邮件消息。当WebOS通知用户接收到邮件消息的时候,就会执行所嵌入的HTML代码;攻击者还可以在日历事件的event/title字段中嵌入任意HTML代码,当用户查看该日历事件或接收到日历事件的提醒通知时就会执行嵌入的代码。
<*来源:Townsend Ladd Harris (PalmPreHacker@gmail.com)
链接:http://marc.info/?l=bugtraq&m=124940778416447&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
"Test <META http-equiv="refresh" content="1;URL=http://www.google.com">"
建议:
--------------------------------------------------------------------------------
厂商补丁:
Palm
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://kb.palm.com/wps/portal/kb/na/pre/p100eww/sprint/solutions/article/50607_en.html#11 |
|
发表于 2009-8-8 08:14:54