漏洞起因
设计错误
危险等级
中
影响系统
Yahoo! Japan Shopping for Android 1.4
不受影响系统
危害
远程攻击者可以利用漏洞窃听加密通信,获取敏感信息。
CVSSv2:
攻击所需条件
攻击者必须访问Yahoo! Japan Shopping for Android。
漏洞信息
Yahoo! Japan Shopping for Android是一款日本雅虎提供的购物应用。
Yahoo! Japan Shopping for Android不正确校验SSL服务器证书,允许攻击者通过中间人攻击伪造服务器,窃听加密通信,获取敏感信息。
测试方法
安全建议
厂商解决方案
用户可联系厂商获得相应的升级程序:
http://commerceapp.yahoo.co.jp/shoppingappli/
漏洞提供者
Zachary Mathis of Proactive Defense
评论关闭。