VulDB: HTC HD2/Touch SMS Preview Cross Site Scripting
Allgemein
scipID: 4124
Betroffen: HTC HD2, HTC Touch
Veröffentlicht: 28.04.2010 (Michael Müller)
Risiko: 
problematisch
Eintrag: 84.4% komplett
Erstellt: 03.05.2010
Beschreibung
Der HTC HD2, HTC-interner Codename Leo, ist ein Smartphone mit Windows Mobile 6.5 Betriebssystem, hergestellt von der HTC Corporation. Es ist das erste Windows Mobile Phone, das einen kapazitiven Touchscreen besitzt und das Multitouch unterstützt. Der Researcher Michael Müller der Firma Integralis veröffentlichte unlängst ein Advisory, indem er eine Schwachstelle (Cross Site Scripting (XSS)) in verschiedenen Versionen des Produktes beschreibt. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (64104) und Secunia (SA39564) dokumentiert.
Auch hier handelt es sich um einen unschönen Fehler, bei der gerenderter Inhalt vor dessen Interpretierung nur unzureichend validiert wird. Auch hier sollte im Zweifelsfall der Hersteller im Hinblick auf eine Gegenmassnahme kontaktiert werden.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:htc:hd2
- cpe:/a:htc:touch
Exploiting
Klasse: Cross Site Scripting
Auswirkungen: beliebiger Script-Code injizieren
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: htc.com
Timeline
28.04.2010 | Advisory veröffentlicht
28.04.2010 | OSVDB Eintrag erstellt
03.05.2010 | VulDB Eintrag erstellt
03.05.2010 | VulDB Eintrag aktualisiert
Quellen
Advisory: archives.neohapsis.com
Person: Michael Müller
Firma: Integralis
