Abuse Melding

Je hebt een klacht over de onderstaande posting:

24-04-2015, 13:27 door Erik van Straten

Android devices met Wi-Fi Direct [1] (ook bekend als WLAN Direct) enabled: een "p2p invitation" netwerkpakket (verzonden door ongeauthenticeerde aanvaller) met daarin een SSID langer dan 32 bytes leidt, door een ontbrekende check in "wpa_supplicant" code, tot een buffer overflow in op de heap (CVE-2015-1863). Ook andere besturingssystemen die deze "wpa_supplicant" code gebruiken, zijn waarschijnlijk kwetsbaar. De gemanipuleerde SSID waarde die wordt verzonden is naar verluidt [2] max. 255 bytes lang. RCE (Remote Code Execution) wordt niet uitgesloten. In elk geval zou informatie van buiten de buffer naar de aanvaller kunnen worden gezonden (met potentieel vertrouwelijke gegevens; dit doet een klein beetje aan de OpenSSL Heartbleed bug denken, echter voor een veel kleiner geheugenbereik). Fix (voor degenen die zelf Android compileren): http://w1.fi/security/2015-1/ Credits: Alibaba security team. PoC: http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.p1ECc3&id=19. Bron: ...

Beschrijf je klacht (Optioneel):

captcha