News-Meldung vom 20.07.2009 12:11
Der Hersteller HTC hat für seine Smartphones HTC Touch Diamond, Touch Pro und Touch HD einen Sicherheits-Patch zur Verfügung gestellt, um eine Sicherheitslücke in einem Bluetooth-Treiber seiner unter Windows Mobile 6 und Windows Mobile 6.1 laufenden Geräte zu beseitigen.
Ursache des Problems ist eine Directory-Traversing-Schwachstelle im Bluetooth-OBEX-FTP-Server, die Angreifern den Zugriff auf Dateien außerhalb des erlaubten Verzeichnisses ermöglicht. Dazu genügt es, den Pfadangaben eine oder mehrere Zeichenfolgen zum Wechseln in das nächsthöhere Verzeichnis voranzustellen ("../" oder "..\\"). Ein Angreifer könnte auf diese Weise eigene Dateien auf ein Gerät hochladen oder Daten ausspähen.
Die Lücke ist eigentlich seit Anfang des Jahres in Windows Mobile bekannt, damals ging der Entdecker Alberto Moreno Tablado aber noch davon aus, dass es ein Fehler von Microsoft in Windows Mobile sei. Mittlerweile hat sich aber herausgestellt, dass ein HTC-Treiber schuld ist. HTC war laut Tablado seit Februar über das Problem informiert.
Siehe dazu auch:
(Daniel Bachfeld)
/
(dab)
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-6831
Themen-Forum Schwachstellen
Mehr zum Thema Patchday Directory Traversing HTC
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
