Vulnerability Bulletins |
Vulnerabilidades en Google Drive y DropBox |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de privilegios |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software |
Google Drive 1.0.1 en dispositivos móviles con iOS Google Drive en Windows y Mac OS X DropBox 1.4.6 para iOS DropBox 2.0.1 para Android |
Description |
|
Se han descubierto vulnerabilidades en Google Drive, tanto para dispositivos móviles como para la versión de escritorio. En el caso de la vulnerabilidad que afecta a dispositivos móviles, se ha detectado un problema de salto de restricciones. Este fallo reside en la clase UIWebView de iOS y en la clase WebView de Android. Estas clases permiten utilizar un navegador embebido dentro de una aplicación. La manera en que estas aplicaciones renderizan el archivo HTML, causa que el código Javascript que contiene el HTML se ejecute automáticamente, y lo haga en una zona de archivos con privilegios. De esta manera, el atacante puede acceder al DOM del navegador embebido y hacerse con información valiosa y acceder al sistema de ficheros con privilegios de la propia aplicación. Por otra parte, la vulnerabilidad que afecta a la versión para escritorios en Windows y Mac OS X permite a atacantes acceder al correo electrónico de la víctima, a sus contactos y a los datos del calendario. La herramienta de sincronización incluye la opción 'Visite Google Drive en la web', que abre una interfaz web en el navegador y automáticamente loguea al usuario. Esta sesión automáticamente establecida, permitiría acceder a otros servicios de Google como el correo, el calendario, contactos, etc. Lo que es especialmente peligroso si se trata de sistemas sin contraseñas, o con cuentas compartidas. |
|
Solution |
|
Se recomienda actualizar a las últimas versiones que corrijan estas vulnerabilidades. Las últimas actualizaciones se pueden encontrar en los siguientes enlaces: https://www.google.com/intl/es/drive/start/download.html https://www.dropbox.com/mobile |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
IBM Application Security Insider: http://blog.watchfire.com/wfblog/2012/10/old-habits-die-hard.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2012-10-25 |