Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidades en Google Drive y DropBox |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
Google Drive 1.0.1 en dispositivos móviles con iOS Google Drive en Windows y Mac OS X DropBox 1.4.6 para iOS DropBox 2.0.1 para Android |
Descripción |
|
|
Se han descubierto vulnerabilidades en Google Drive, tanto para dispositivos móviles como para la versión de escritorio. En el caso de la vulnerabilidad que afecta a dispositivos móviles, se ha detectado un problema de salto de restricciones. Este fallo reside en la clase UIWebView de iOS y en la clase WebView de Android. Estas clases permiten utilizar un navegador embebido dentro de una aplicación. La manera en que estas aplicaciones renderizan el archivo HTML, causa que el código Javascript que contiene el HTML se ejecute automáticamente, y lo haga en una zona de archivos con privilegios. De esta manera, el atacante puede acceder al DOM del navegador embebido y hacerse con información valiosa y acceder al sistema de ficheros con privilegios de la propia aplicación. Por otra parte, la vulnerabilidad que afecta a la versión para escritorios en Windows y Mac OS X permite a atacantes acceder al correo electrónico de la víctima, a sus contactos y a los datos del calendario. La herramienta de sincronización incluye la opción 'Visite Google Drive en la web', que abre una interfaz web en el navegador y automáticamente loguea al usuario. Esta sesión automáticamente establecida, permitiría acceder a otros servicios de Google como el correo, el calendario, contactos, etc. Lo que es especialmente peligroso si se trata de sistemas sin contraseñas, o con cuentas compartidas. |
|
Solución |
|
|
Se recomienda actualizar a las últimas versiones que corrijan estas vulnerabilidades. Las últimas actualizaciones se pueden encontrar en los siguientes enlaces: https://www.google.com/intl/es/drive/start/download.html https://www.dropbox.com/mobile |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
IBM Application Security Insider: http://blog.watchfire.com/wfblog/2012/10/old-habits-die-hard.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-10-25 |