Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
W samochodach Mazdy i Nissana lepiej nie słuchajcie podcastów z %In w nazwie -> crash
Podłączasz telefon do samochodu (Bluetoothem) i chcesz słuchać ulubionych podcastów. Wszystko jest OK do momentu gdy w tytule nie ma znaku %. Nie każdy też procent rebootuje system audio: zidentyfikowani winowajcy to np. %n %N %In (a pierwszym PoC-em był normalny podcast: 99% Invisible).
Najprawdopodobniej jest to podatność typu format string. Łatka pojawiła się w bardzo popularnym playerze Pocket Casts:
Ale stawiamy na to, że podatność można wykorzystać równiez innymi playerami. Może również w innych samochodach. Miejmy też nadzieję, że stacje FM nie nadają RDS-em żadnych podejrzanych znaków %… A może nadają?
–ms
RMF 100% Reklam i prognozy pogody!
Po przeczytaniu tytułu pomyślałem, iż chodzi o crash całego samochodu, nie wyłącznie systemu audio. Za dużo security na dziś.