SSL-svipser i Samsung-software: Fjern-eksekvering af kode med admin-rettigheder

Illustration: Virrage Images/Bigstock
Et manglende SSL-check i Samsung Magician gør softwaren sårbar over for angreb.

Kører du Samsungs Magician-software, er det en god idé at opdatere til den seneste version 5.1

The Register fortæller på baggrund af en bulletin fra CERT Coordination Centre ved Carnegie Mellon University, at softwaren, der bliver brugt til at administrere SSD-drev fra Samsung, før version 5.1, er sårbar over for angreb.

Før version 5.0 søgte Samsung Magician efter opdateringer over en usikker HTTP-forbindelse. Og fra version 5.0 blev det godt nok til en HTTPS-forbindelse, men ifølge beskeden fra CERT'en så har softwaren valideret SSL-certifikat, der er knyttet til HTTPS-forbindelsen.

Resultatet skulle være, at en angriber på samme netværk som en Samsung Magician-bruger - eller en angriber, der på anden vis kan manipulere netværkstrafikken - kan bruge programmets opdateringsproces til at eksekvere vilkårlig kode på offerets system med administrator-rettigheder.

Den opdaterede version af programmet kan hentes her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Futtrup

Det er en eller to måneder siden at Samsung rullede en opdatering ud, som jeg accepterede. Når jeg læser ovenstående er det alligevel betænkeligt hvordan et "simpelt" opdateringsprogram kan gøre livet usikkert.

  • 0
  • 0
Log ind eller Opret konto for at kommentere