Palms WebOS wieder löchrig
Durch eine kritische Lücke in der Kontakt-Anwendung von WebOS können Angreifer Schadcode ins System einschleusen.
- Ronald Eikenberg
Im Sicherheitsmantel von Palms Smartphone-Betriebssystem WebOS haben die Forscher Orlando Barrera und Daniel Herrera von SecTheory ein klaffendes Loch entdeckt, wie Dark Reading berichtet. Die kritische Lücke fanden die Experten in der Kontakte-Anwendung der derzeit aktuellen WebOS-Version 1.4.x: Eingaben im Feld "Firma" lassen sich zum Einschleusen von Schadcode missbrauchen. Auf diese Weise konnten Barrera und Herrera persönliche Daten wie Mails, Mailadressen und Kontakte abgreifen und sogar einen Keylogger installieren.
Dieses Problem hat HP, die WebOS mitsamt dem dahinterstehenden Handheldpionier Palm aufgekauft haben, zwar in Version 2.0 des Mobilbetriebssystems behoben. Von der fehlerbereinigten Version existiert derzeit jedoch nur eine Beta – und in der haben Barrera und Herrera schon wieder neue Lücken gefunden: Unter anderem einen Floating-Point-Overflow, eine DoS-Lücke und Cross-Site-Scripting-Varianten. (rei)