+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Trustwave виявила дві вразливості у програмах Western Digital SSD Dashboard та SanDisk SSD Dashboard

Trustwave виявила дві вразливості у додатках Western Digital SSD Dashboard та SanDisk SSD Dashboard

Дослідники безпеки з компанії Trustwave виявили дві вразливості в додатках Western Digital SSD Dashboard та SanDisk SSD Dashboard, експлуатація яких може дозволити зловмиснику виконати довільний код на системах або отримати доступ до персональної інформації.

Western Digital SSD та SanDisk SSD Dashboard — програми, які допомагають користувачам контролювати продуктивність SSD, а також діагностувати проблеми та збирати інформацію для усунення несправностей.

Перша вразливість (CVE-2019-13467) полягає у використанні ненадійного HTTP-протоколу для зв'язку з web-сервісом Dashboard. Запрошуючи оновлення, Dashboard отримує файл XML із номером останньої доступної версії програми. Якщо номер версії прошивки у XML-файлі перевищує поточний, програма завантажує та встановлює його без перевірки пакета. Зловмисник може перехопити запит на оновлення та змінити версію прошивки. Надаючи IP-адресу шкідливого ресурсу, злочинець може відправити шкідливе програмне забезпечення на систему жертви і запустити його.

Уразливість зачіпає версії Western Digital та SanDisk SSD Dashboard нижче 2.5.1.0. Виробник виправив цю проблему, переключивши службу оновлення на HTTPS.

Друга вразливість (CVE-2019-13466) пов'язана з наявністю вшитого пароля для шифрування повідомлень клієнтів у службу підтримки. Проблему було виявлено після аналізу двійкового файлу SanDiskSSDDashboard.exe. Один із рядків виявився паролем для шифрування інформації, що передається до служби підтримки. Пароль однаковий для кожної установки, тому зловмисник, який перехоплює повідомлення, може прочитати всі дані, включаючи конфіденційну інформацію.

Western Digital виправила проблему шляхом відмови від шифрування для звітів, а також порекомендувала користувачам безпосередньо звертатися до співробітників служби підтримки компанії.

Інші новини