Stfw.RuИсследователь безопасности под псевдонимом Rotologix обнаружил ряд брешей в мобильных интернет-обозревателях Dolphin Browser и Mercury Browser, эксплуатация которых позволяет удаленно выполнить код.
По имеющимся на сегодняшний день данным, пользователями Dolphin являются 100 млн человек, Mercury – 1 млн. Для сравнения, браузер Firefox для Android установили 500 млн пользователей, показатели же Google Chrome колеблются в пределах 5 млрд инсталляций.
Rotologix проинформировал о брешах разработчиков интернет-обозревателей. Оба производителя уже выпустили обновления с устранением брешей.
По словам специалиста, в случае с Dolphin Browser атакующий с возможностью контроля сетевого трафика может модифицировать функционал загрузки и применения новых тем для браузера. Путем эксплуатации данного функционала злоумышленник может выполнить код в контексте браузера на устройстве пользователя.
Поскольку в последний раз Dolphin Browser обновлялся в июле нынешнего года, отмечает Rotologix, брешь затрагивает всех пользователей интернет-обозревателя.
Проблема Mercury Browser заключается в ненадежной реализации схемы Intent URI и уязвимости обратного пути в директориях (Path Traversal) в кастомном web-сервере, используемом для поддержки функции Wi-Fi Transfer. Совместная эксплуатация данных брешей позволяет атакующему удаленно читать и создавать файлы в директории данных браузера.
