Controle remoto seguro para desktops convencionais e virtuais
Amazon reintroduziu e novamente fixa uma falha em sua página de gerenciamento de Kindle que permite que atacantes para comandar contas por booby armadilhas livros piratas, diz o pesquisador Benjamin Mussler.
A falha foi descoberta e fixo em outubro passado, quando a Amazon fechou a capacidade de bandidos para injetar roteiro desagradável em metadados eBook primeiro. Esse código será executado quando os livros foram enviados para o Enviado para serviço Kindle, uma ferramenta que permite aos usuários enviar documentos para e-readers da Amazon.
Piratas livro foram alvos óbvios, porque eles buscaram * .mobi e * livros .awz para download e enviado-os para o serviço de upload.
Mussler disse que a falha foi re-introduzido depois de uma atualização para a página Manage Your Kindle.
"O código malicioso pode ser injetado via metadados ebook, por exemplo, o título de um livro eletrônico", disse Mussler.
"... O código será executado assim que a vítima abre a página web Kindle Library. Como resultado, biscoitos conta da Amazon pode ser acessado pelo e transferido para o atacante e conta Amazon da vítima pode ser comprometida."
Gerenciar seu ataque Kindle. Benjamin Mussler.
O bug existe há pelo menos dois meses após Mussler descobriu e relatou a falha 9 de Julho. Amazon não havia respondido até sexta-feira levando Mussler a cair a divulgação ao público.
Os atacantes poderiam ter trabalhado títulos como a um título do livro que daria acesso a contas Amazônia.
Mussler disse Amazon usou a sua prova de conceito código de ataque durante os testes da sua página Gerenciar Kindle e fiquei surpreso que um descuido permitiu a falha de ser re-introduzido.
A falha de Cross Site Scripting também afetou populares programa de gerenciamento de livros gratuitos Calibre mas foi fixado em contraste impressionantes quatro horas depois de ter sido relatado.
Os atacantes foram encontrados alvo caçadores livro piratas em sites de vestiários cibernéticos usando drive-by-downloads e scripts maliciosos. Ebooks piratas também foram negociadas em torrent trackers públicos e privados. ®
Nenhum comentário:
Postar um comentário