Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

W samochodach Mazdy i Nissana lepiej nie słuchajcie podcastów z %In w nazwie -> crash

17 kwietnia 2019, 18:34 | W biegu | komentarze 2

Podłączasz telefon do samochodu (Bluetoothem) i chcesz słuchać ulubionych podcastów. Wszystko jest OK do momentu gdy w tytule nie ma znaku %. Nie każdy też procent rebootuje system audio: zidentyfikowani winowajcy to np. %n %N %In (a pierwszym PoC-em był normalny podcast: 99% Invisible).

Najprawdopodobniej jest to podatność typu format string. Łatka pojawiła się w bardzo popularnym playerze Pocket Casts:

Ale stawiamy na to, że podatność można wykorzystać równiez innymi playerami. Może również w innych samochodach. Miejmy też nadzieję, że stacje FM nie nadają RDS-em żadnych podejrzanych znaków %… A może nadają?

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wujek Pawel

    RMF 100% Reklam i prognozy pogody!

    Odpowiedz
  2. piranha

    Po przeczytaniu tytułu pomyślałem, iż chodzi o crash całego samochodu, nie wyłącznie systemu audio. Za dużo security na dziś.

    Odpowiedz

Odpowiedz