In twee apps voor de iPhone en iPad zijn verschillende beveiligingslekken ontdekt waardoor een aanvaller bestanden in het account van een gebruiker kan plaatsen of code in de browser kan uitvoeren. Het gaat om File Lite en File Lite Pro, twee iOS-apps waarmee het mogelijk is om documenten te bekijken en te beheren. De kwetsbaarheden werden ontdekt door het Vulnerability Laboratory.
De problemen worden veroorzaakt door de WiFi sharing optie van de apps. Daarmee is het mogelijk om bestanden te delen door lokaal op de iPhone of iPad een webserver te draaien. Als deze optie is ingeschakeld kan een aanvaller zonder enige interactie van de gebruiker bestanden in zijn account plaatsen en code in de browser van de gebruiker injecteren.
Het probleem is aanwezig in File Lite 3.3 & 3.5 Pro. De ontwikkelaar van de app heeft inmiddels voor zowel de gratis als betaalde versie een update (3.6) uitgebracht, die via de App Store is te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.