Podatność w aplikacji KeyChainActivity na urządzeniach Google Chromecast umożliwia nieupoważniony dostęp oraz manipulację danymi bez weryfikacji uprawnień. Luka otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla bezpieczeństwa urządzeń.
▸ Pokaż oryginał (EN)
Missing Permission checks resulting in unauthorized access and Manipulation in KeyChainActivity Application
Podatność wynika z braku wymaganych sprawdzeń uprawnień (CWE-862 – Missing Authorization) w aplikacji KeyChainActivity. Atakujący zdalny, nieuwierzytelniony użytkownik może wysłać odpowiednio spreparowane żądanie do podatnej aplikacji, omijając mechanizmy kontroli dostępu. W rezultacie możliwy jest nieautoryzowany odczyt, modyfikacja lub zniszczenie danych obsługiwanych przez KeyChainActivity.
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych zarządzanych przez aplikację KeyChainActivity oraz je modyfikować, co zagraża poufności, integralności i dostępności systemu. Wektor sieciowy bez wymogu uwierzytelnienia sprawia, że atak może być przeprowadzony zdalnie i bez interakcji użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Google dla Chromecast z dnia 2023-12-01 (https://source.android.com/docs/security/bulletin/chromecast/2023-12-01). Zalecane jest jak najszybsze zaktualizowanie oprogramowania układowego urządzeń Chromecast.
Urządzenia Google Chromecast z oprogramowaniem układowym (firmware) — wersje wskazane w referencjach producenta (biuletyn bezpieczeństwa Chromecast z grudnia 2023).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGoogle Chromecast
HWGooglewszystkie wersjeGoogle Chromecast Firmware
OSGoogle< 2023-10-01
Powiązane podatności
Krytyczna podatność u-boot w Google Chromecast — dostęp do powłoki przez UART
Privilege escalation poprzez podatność w U-Boot shell na Google Chromecast
Podatność U-Boot w Google Chromecast umożliwiająca trwałe wykonanie kodu
RCE w Google Chromecast — trwałe wykonanie kodu przez błąd BCB
The API service on Google Home and Chromecast devices before mid-July 2018 does not prevent DNS rebinding atta...