Un erróneo tratamiento en las contraseñas permitiría a un atacante
poder visualizar las contraseñas almacenadas por TrueSync Desktop 2.0.
TrueSync Desktop es un «Personal Information Manager» (PIM), lo que
puede describirse como una agenda personal que corre sobre el sistema
operativo Windows. Esta aplicación ha sido desarrollada por la firma
Starfish Software con el fin de permitir la sincronización y transmisión
de información entre dispositivos móviles y el ordenador del usuario.
El problema que afecta a TrueSync Desktop 2.0 viene dado por el modo
en que el mencionado software trata las contraseñas. Cuando un usuario
introduce su password con el fin de salvaguardar sus datos, esta es
almacenada con la única «protección» de convertir cada uno de los
caracteres introducidos por su equivalente en código ASCII en el
registro de Windows.
Concretamente la contraseña queda almacenada, ocultada mediante el
mencionado método, en la entrada:
HKEY_LOCAL_MACHINE\SOFTWARE\Starfish\TrueSyncDesktop\Version1\PASSWORD\pswd
roman@hispasec.com
Más información:
Starfish TrueSync Desktop Password Disclosure Vulnerability
http://www.securityfocus.com/bid/3231
Starfish Truesync Desktop + REX 5000 Pro multiple vulnerabilities
http://www.securityfocus.com/archive/1/210067
Deja un comentario