Уязвимости в продуктах Lifesize позволяют следить за пользователями

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
Проблемы затрагивают Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker.​

Уязвимости в продуктах для обеспечения конференцсвязи от компании Lifesize позволяют получить контроль над уязвимым устройством и следить за пользователями. Как сообщают специалисты Trustwave Spiderlabs, проблемы затрагивают такие продукты, как Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker.

Одна из обнаруженных исследователями уязвимостей позволяет удаленно внедрять команды, но для ее эксплуатации злоумышленник должен получить доступ к прошивке устройства Lifesize, а для этого ему нужно знать его серийный номер. Тем не менее, если атакующий выведает серийный номер устройства, все остальное не составит для него никакого труда. С помощью программных инструментов и информации со страницы техподдержки Lifesize он сможет с легкостью получить контроль над устройством. Дело в том, что оборудование Lifesize по умолчанию связано с учетными записями техподдержки с дефолтными паролями, которые пользователи, как правило, не меняют.

Еще одна обнаруженная Trustwave Spiderlabs уязвимость связана с программной ошибкой, позволяющей пользователям вводить данные без соответствующей очистки с использованием функций оболочки. Если проэксплуатировать эту ошибку вместе с ошибкой повышения привилегий, злоумышленник сможет запускать на устройстве системные команды и получить доступ к системе. В сочетании с уязвимостью внедрения команд повышение привилегий позволит ему обеспечить на атакуемом устройстве свое постоянное присутствие. Таким образом, у злоумышленника появится доступ ко всему хранящемуся на устройстве видео и аудио.

В настоящее время производитель работает над исправлением уязвимостей.
 
Сверху Снизу