Insufficient Authentication уразливість в ноутбуках Acer
23:51 09.05.2009У квітні, 28.04.2009, я виявив Insufficient Authentication уразливість в ноутбуках Acer. На даних ноутбуках (на двох моїх) використовується Windows XP Home Rus, у випадку інших ОС уразливість також може бути присутня.
В Windows XP Home в дефолтному акаунті адміністратора “Администратор” пустий пароль. І він не задається рівним паролю першого адміна, коли при першому запуску ноутбука створюється акаунт адміна (як це робиться при інсталяції Windows XP). Тому при фізичному доступі до ноутбука, будь-хто зможе зайти в систему з правами адміністратора.
Дані ноутбуки в мене вже давно (ними користується моя мати, я сам ними майже не користуются, лише адмініструю): 2313LC модель з серпня 2005, а 2413LC модель з квітня 2006. І встановивши паролі на свій адмінський акаунт при першому запуску Віндовса, я гадав, що з паролями в системі все гаразд. Поки нещодавно, 28.04.2009, під час адміністрування не виявив, що у дефолтного акаунта адміна не заданий пароль.
Стосовно питань веб безпеки, то дана уразливість в ноутбуках Acer може призвести до того, що логіни і паролі до ваших сайтів (а також кукіси для авторизації), що були збережені в браузері, можуть бути викрадені. Це також стосується вашої електронної пошти, якщо на ноутбуці ви використовуєте поштовий клієнт (Outlook Express чи інший).
Уразливі моделі ноутбуків: Acer TravelMate 2313LC, Acer TravelMate 2413LC та потенційно інші моделі.
