В мобильных браузерах Dolphin и Mercury обнаружены уязвимости нулевого дня

image

Теги: уязвимость нулевого дня, браузер, эксплуатация

Эксплуатация брешей позволяет злоумышленнику удаленно выполнить код.

Исследователь безопасности под псевдонимом Rotologix обнаружил ряд брешей в мобильных интернет-обозревателях Dolphin Browser и Mercury Browser, эксплуатация которых позволяет удаленно выполнить код.

По имеющимся на сегодняшний день данным, пользователями Dolphin являются 100 млн человек, Mercury – 1 млн. Для сравнения, браузер Firefox для Android установили 500 млн пользователей, показатели же Google Chrome колеблются в пределах 5 млрд инсталляций.

Rotologix проинформировал о брешах разработчиков интернет-обозревателей. Оба производителя уже выпустили обновления с устранением брешей.

По словам специалиста, в случае с Dolphin Browser атакующий с возможностью контроля сетевого трафика может модифицировать функционал загрузки и применения новых тем для браузера. Путем эксплуатации данного функционала злоумышленник может выполнить код в контексте браузера на устройстве пользователя.

Поскольку в последний раз Dolphin Browser обновлялся в июле нынешнего года, отмечает Rotologix, брешь затрагивает всех пользователей интернет-обозревателя.

Проблема Mercury Browser заключается в ненадежной реализации схемы Intent URI и уязвимости обратного пути в директориях (Path Traversal) в кастомном web-сервере, используемом для поддержки функции Wi-Fi Transfer. Совместная эксплуатация данных брешей позволяет атакующему удаленно читать и создавать файлы в директории данных браузера.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.