Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/07/2012
Encara que el seu ús és essencialment la lectura de llibres electrònics, des de la tercera generació (actualment va per la quarta) de Kindle, els dispositius estan dotats entre altres funcionalitats d’un navegador que permet la navegació per Internet a través de connexió Wi-Fi, no així a través de 3G.
En la versió 5.1.0 del microprogramari d’este dispositiu es va introduir l’arquitectura per a connectors NPAPI a través de la llibreria /usr/lib/libkindleplugin.so. Esta dóna la possibilitat d'incloure connectors en el motor WebKit del navegador.
?Un usuari de mobileread.com amb l’àlies d’eureka? va descobrir que, a través d’una crida a la funció lipc-set-prop d’esta llibreria incrustada en un lloc web es podia executar comandaments de Shell amb permisos de root de forma remota. Un atacant que dissenyara una pàgina web maliciosa i convencera un usuari perquè hi accedira podria prendre el control del dispositiu.
Llegiu la notícia de Hispasec.