(资料图片)

《空中观察》（Air Watch）与编程书中最古老的把戏之一发生了冲突：信任用户提供的输入。

因此，恶意用户可以使用Air Watch云访问其他客户的信息，并下载属于其他客户的应用程序。

新西兰安全公司Security-Assessment.com（S A）于10月29日向VMware通报了这一问题，并于12月10日发布了一个补丁，SA在一份描述该漏洞的咨询（PD F）中说。

SA说：“发现Air Watch云控制台使用整数来引用各种对象。”可根据用户提供的输入直接访问这些对象。

通过操纵GET变量，SA研究人员DenisAndzakovic能够枚举属于其他客户的信息，包括智能组、声誉扫描和私人应用程序。

安扎科维奇还发现，一旦找到应用程序ID，就有可能触发在终端设备上安装另一个客户的私人应用程序。

虽然Air Watch云上个月进行了修补，但尚未升级到7.3.3.0版本的Air Watch的本地用户仍然容易受到攻击。

Air Watch去年这个时候被VMware以15.4亿美元收购。

关键词： 应用程序 这个时候 终端设备 研究人员