annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
Annonces

Nous avons lancé le forum de la communauté Bose à une époque où les clients Bose ne bénéficiaient pas d’une assistance en ligne de qualité. Ces dernières années, nous avons ajouté de nouveaux canaux de service client en ligne qui offrent une expérience numérique plus interactive et plus complète. De plus, nous avons amélioré les fonctionnalités du compte Mon Bose afin d’offrir une expérience plus personnalisée et en libre-service. Bose a donc décidé de fermer le forum de la communauté pour les produits électroniques grand public le 30 septembre 2021. La section Bose Pro de la communauté continuera de fonctionner.


N’hésitez pas à consulter notre page d’assistance pour découvrir l’un de nos nombreux autres canaux de service numérique, ou utilisez simplement vos identifiants de connexion à la communauté pour vous connecter à votre compte Mon Bose et ainsi consulter vos commandes et vos options d’assistance.


Merci à toutes les personnes qui ont contribué aux interactions au sein de la communauté et qui en ont tiré parti. Nous avons hâte de continuer à vous assister en ligne.


Sincères salutations,
Le service clientèle de Bose
annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
Anne_S
Community Manager - Retired
  • 0
  • 1420
  • 64
Registered since

Apr 3, 2018

Avis de sécurité produit Bose

Cette notice de Bose vise à fournir aux utilisateurs de certains produits des informations sur un problème de sécurité identifié dans un ou plusieurs de nos produits. Les informations contenues dans cet avis sont destinées à aider les clients à comprendre la nature du problème de sécurité, les produits concernés par ce problème et les mesures que les clients peuvent prendre pour éviter le problème.


Problème de sécurité

================


Les applications mobiles Bose SoundTouch pour Android et iOS, les versions d'interface 19.1.7 et antérieures, contiennent une vulnérabilité de script intersite (XSS) persistante lors de l'affichage du nom des périphériques connectés en Bluetooth dans la page d’état du périphérique. Cela peut permettre à un utilisateur malveillant d'exécuter du Javascript arbitraire dans le contexte de l'application mobile.

Les applications potentiellement concernées par ce problème incluent les versions suivantes:

Application mobile Bose SoundTouch pour Android - Interface version 19.1.7 et antérieure
Application mobile Bose SoundTouch pour iOS - Interface version 19.1.7 et antérieure

La mise à jour de l'interface 19.1.9 résout ce problème.

Pour plus d'informations, veuillez consulter le rapport complet ci-dessous.

================================================================
Révision: 1.0
Date de révision: 12 septembre 2018
Identifiant CVE: CVE-2018-16143
CWEs concernés: CWE-79: Neutralisation incorrecte des entrées lors de la génération de pages Web («Scripts intersites»)
CVSS v3 Note: 4.6 / Moyenne (CVSS: 3.0 / AV: A / AC: L / PR: N / UI: R / S: U / C: L / I: L / A: N)

 

Description détaillée

~~~~~~~~~~~~~~~~~~~~

 

Les applications mobiles Bose SoundTouch, pour Android et iOS respectivement, les versions d'interface 19.1.7 et antérieures, contiennent une vulnérabilité persistante de script inter-sites (XSS) lors de l'affichage du nom des périphériques connectés Bluetooth dans la boîte de dialogue d'état du périphérique.

L'impact spécifique dépend des applications et des capacités de l’appareil mobile de l'utilisateur. Un hacker pourrait tirer parti de cette vulnérabilité pour inciter un utilisateur à effectuer certaines actions, telles que visiter un site Web contrôlé par un hacker à des fins malveillantes (voir ci-dessous).

Pour qu'un hacker puisse avoir un impact, ce dernier doit pouvoir se connecter / s’appairé à un produit Bose via Bluetooth en utilisant un périphérique avec un nom spécialement conçu, qui est ensuite affiché dans l'application Bose SoundTouch lorsqu'un utilisateur visualise le statut du produit Bose. Dans une configuration où plusieurs appareils sont connectés, un attaquant se connectant à un de ces périphériques pourrait potentiellement en tirer partie.

 

Quelle est la gravité de ce problème ?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Une gravité estimée pour ce problème a été calculée à l'aide du système CVSS (Common Vulnerability Scoring System) v3, une méthode standard d'évaluation de la gravité des problèmes de sécurité. La gravité estimée pour ce problème a été calculée pour être:
4.6 / Moyen (CVSS: 3.0 / AV: A / AC: L / PR: N / UI: R / S: U / C: L / I: L / A: N)

Qu'est-ce que cela signifie en pratique ?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Un individu malveillant qui souhaite exploiter ce problème pour causer des dommages doit se trouver à portée de Bluetooth (environ 100 mètres) sur le produit d'un utilisateur. Aucune compétence ou outil particulier n'est requis.

L'utilisateur (victime) doit utiliser l'application mobile Bose SoundTouch et doit afficher la page d'état du périphérique pour être impacté.

Si une exploitation réussie se produit, l'impact est initialement sur le périphérique mobile de l'utilisateur. Les scénarios d'attaque incluent la tentative de rediriger un utilisateur du produit vers un serveur malveillant hébergé par le hacker, par ex. fournir des logiciels malveillants ou suivre l'utilisateur en fonction des informations définies par l'attaquant ou tenter d'accéder à des applications utilisées sur l’appareil de l'utilisateur.

Les remèdes

~~~~~~~~~~~


Les utilisateurs de l'application Bose SoundTouch pour Android ou iOS seront automatiquement mis à jour à la version 19.1.9 (ou ultérieure) de l'interface lors de leur prochaine utilisation de l'application.

Crédit et références

~~~~~~~~~~~~~~~


Cette question a été divulguée de manière responsable à Bose par un chercheur indépendant en sécurité. Bose aimerait remercier ce chercheur d'avoir collaboré avec Bose pour enquêter et remédier à ce problème.

Aditya Gujar, www.betterhacker.com

Feel more. Do more. Be more.
Come check out my profile here. New to the community? Check out the Getting Started board.
Help others find answers to your questions by clicking on 'Accept as Solution' at the bottom of a reply.
If you see a post you like, make sure to give it a thumbs up!