Arami

Уязвимости в ПО Western Digital и SanDisk подвергают риску владельцев SSD ( 1 фото )


Уязвимости в ПО Western Digital и SanDisk подвергают риску владельцев SSD Интернет и компьютер,sandisk,trustwave,western digital,уязвимость

Эксплуатация одной из уязвимостей позволяет выполнить произвольный код на системе.

Исследователи безопасности из компании Trustwave обнаружили две уязвимости в приложениях Western Digital SSD Dashboard и SanDisk SSD Dashboard, эксплуатация которых может позволить злоумышленнику выполнить произвольный код на системах или получить доступ к персональной информации.

Western Digital SSD и SanDisk SSD Dashboard — программы, помогающие пользователям контролировать производительность SSD, а также диагностировать проблемы и собирать информацию для устранения неполадок.

Первая уязвимость (CVE-2019-13467) заключается в использовании ненадежного HTTP-протокола для связи с web-сервисом Dashboard. Запрашивая обновления, Dashboard получает файл XML с номером последней доступной версии приложения. Если номер версии прошивки в XML-файле превышает текущий, приложение загружает и устанавливает его без проверки пакета. Злоумышленник может перехватить запрос на обновление и изменить версию прошивки. Предоставив IP-адрес вредоносного ресурса, преступник может отправить вредоносное ПО на систему жертвы и запустить его.

Уязвимость затрагивает версии Western Digital и SanDisk SSD Dashboard ниже 2.5.1.0. Производитель исправил данную проблему, переключив службу обновления на HTTPS.

Вторая уязвимость (CVE-2019-13466) связана с наличием вшитого пароля, предназначенного для шифрования сообщений клиентов в службу поддержки. Проблема была обнаружена после анализа двоичного файла SanDiskSSDDashboard.exe. Одна из строк оказалась паролем для шифрования информации, передаваемой в службу поддержки. Пароль одинаков для каждой установки, поэтому злоумышленник, перехватывающий сообщение, может прочитать все данные, включая конфиденциальную информацию.

Western Digital исправила проблему путем отказа от шифрования для отчетов, а также порекомендовала пользователям напрямую обращаться к сотрудникам службы поддержки компании.

Материал взят: Тут

+1434
  • 0
  • 784
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno