Недавно исследователи из IBM обнаружили в браузере Android уязвимость, которая может быть эксплуатирована непривилегированным приложением для внедрения JavaScript кода в контекст любого домена. Данная уязвимость имеет те же последствия, что и XSS, хотя здесь речь скорее идет об установленном приложении, а не о другом сайте.
Новые версии Android 2.3.5 и 3.2 содержат фикс для этого бага. Патчи для Android 2.2.* и будут выпущены позднее. Полный информационный бюллетень можно найти здесь. Сам браузер хранит важную информацию, такую как куки, кэш и историю, и внедрение JavaScript кода делает возможным изъятие данной информации, косвенно нарушая архитектуру песочницы Android. Атака эксплуатирует уязвимости в том, как браузер реагирует на запросы просмотра веб-страниц от других приложений.
Больше статей
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018
Honor приостановил поставки смартфонов в Россию и ищет лазейки через параллельный импорт