Update für Palm Pre schließt Sicherheitslücken
Es soll verhindern, dass der Klick auf zu lange URLs zum Absturz des Systems führt. Durch gezielt präparierte URL soll es sogar unter Umständen möglich sein, Code in das Gerät zu schleusen und zu starten.
- Daniel Bachfeld
Palm hat ein Sicherheits-Update für das Betriebssystem WebOS seines Palm Pre veröffentlicht. Es soll verhindern, dass der Klick auf zu lange URLs (>= 4063 Zeichen) zum Absturz des Systems führt. Durch gezielt präparierte URL soll es sogar unter Umständen möglich sein, Code in das Gerät zu schleusen und zu starten. Ein derartiger Link kann etwa per Mail, AIM, SMS und anderen Wegen auf das Gerät gelangen.
Ursache des Problems ist ein nicht genau untersuchter Fehler im LunaSysMgr-Prozess. Der Fehler wurde in WebOS 1.0.3 gefunden und in Version 1.0.4 behoben. Dort hat der Hersteller zudem eine Schwachstelle im Umgang mit Anhängen an E-Mails sowie bei der Signaturbehandlung von Anwendungen behoben.
Der Hersteller empfiehlt das Update auf die bereits verfügbare Version 1.1.0, in der die Fehler ebenfalls alle korrigiert sind.
Siehe dazu auch:
- Palm Pre WebOs 1.0.3+ Memory Corruption Via Long Attacker Controlled URI, Blogeintrag von Townsend Ladd Harris
- webOS 1.0.4, Versions-Informationen
(dab)
