VDB-4124 · SA39564 · OSVDB 64104

HTC Touch Pro2 / HD2 SMS Preview Script Execution

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in HTC HD2 and Touch entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Komponente SMS Preview. Durch das Beeinflussen mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

Der HTC HD2, HTC-interner Codename Leo, ist ein Smartphone mit Windows Mobile 6.5 Betriebssystem, hergestellt von der HTC Corporation. Es ist das erste Windows Mobile Phone, das einen kapazitiven Touchscreen besitzt und das Multitouch unterstützt. Der Researcher Michael Müller der Firma Integralis veröffentlichte unlängst ein Advisory, indem er eine Schwachstelle (Cross Site Scripting (XSS)) in verschiedenen Versionen des Produktes beschreibt. Diese Schwäche erlaubt es einem Angreifer, Kontroller über das System zu erlangen und seine Rechte zu erweitern. Unter anderem wird der Fehler auch in den Datenbanken von OSVDB (64104†) und Secunia (SA39564†) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Auch hier handelt es sich um einen unschönen Fehler, bei der gerenderter Inhalt vor dessen Interpretierung nur unzureichend validiert wird. Auch hier sollte im Zweifelsfall der Hersteller im Hinblick auf eine Gegenmassnahme kontaktiert werden.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: htc.com

Timelineinfo

25.03.2010 🔍
28.04.2010 +34 Tage 🔍
28.04.2010 +0 Tage 🔍
28.04.2010 +0 Tage 🔍
03.05.2010 +4 Tage 🔍
24.04.2018 +2913 Tage 🔍

Quelleninfo

Advisory: archives.neohapsis.com
Person: Michael Müller
Firma: Integralis
Status: Nicht definiert

GCVE (VulDB): GCVE-100-4124
Secunia: 39564 - HTC Touch Pro2 / HD2 SMS Preview Script Execution Vulnerability, Moderately Critical
OSVDB: 64104 - HTC Multiple Product SMS Preview Arbitrary Code Execution

Eintraginfo

Erstellt: 03.05.2010 02:00
Aktualisierung: 24.04.2018 08:42
Anpassungen: 03.05.2010 02:00 (55), 24.04.2018 08:42 (1)
Komplett: 🔍
Editor: stfr
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!