Отсутствие повторной валидации SSL-сертификатов в Intel CrossWalk

Дата публикации:01.08.2016
Всего просмотров:3733
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2016-5672
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Intell Crosswalk
Уязвимые версии: Crosswalk stable 19.49.514.5
Описание:

Уязвимость позволяет удаленному пользователю осуществить атаку «человек посередине».

Уязвимость существует из-за ошибки в реализации фреймоворка для разработки приложений под Android и iOS, позволяющей перманентно принять недоверенный SSL сертификат. После принятия подобного сертификата приложение больше не попытается осуществить валидацию любых других SSL-сертификатов. Удаленный пользователь может обманом заставить жертву принять некорректный сертификат и в последствии осуществить атаку «человек посередине».

URL производителя: http://www.intel.com
Решение: Установите исправление с сайта производителя.
Ссылки: https://www.kb.cert.org/vuls/id/217871
https://blogs.intel.com/evangelists/2016/07/28/crosswalk-security-vulnerability/
https://wwws.nightwatchcybersecurity.com/2016/07/29/advisory-intel-crosswalk-ssl-prompt-issue/