Security Lab

Локальное повышение привилегий в Google Android

Дата публикации:13.01.2016
Всего просмотров:3120
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C)
CVE ID: CVE-2014-7911
Вектор эксплуатации: Локальная
Воздействие: Повышение привилегий
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Google Android 1.6
Google Android 2.x
Android 3.x
Android 4.x
Уязвимые версии: Google Android с 1.6 по 4.4.2
Описание:

Уязвимость позволяет локальному пользователю повысить привилегии.

Уязвимость существует из-за того, что luni/src/main/java/java/io/ObjectInputStream.java в имплементации java.io.ObjectInputStream в Google Android до 5.0.0 не проверяет соответствие объекта десериализации требованиям сериализации. Локальный пользователь может с помощью специально сформированного метода финализации для сериализованного объекта в ArrayMap Parcel, отправленного на system_service, повысить привилегии.

Решение: Установите исправление с сайта производителя.
Ссылки: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7911
Журнал изменений: a:2:{s:4:"TEXT";s:34:"13.01.16: Изменена метрика CVSSv2.";s:4:"TYPE";s:4:"html";}