Уязвимость в Android позволяет загружать вредоносное ПО в обход системы безопасности

image

Теги: Android, приложение, уязвимость

Злоумышленник может получить полный контроль над уязвимой системой.

Джей Фримен (Jay Freeman), также известный как saurik, описал очередную ошибку, связанную с обработкой метаданных в Zip-архивах на всех версиях ОС Android до 4.4. Фримен, который ранее провел анализ безопасности Google Glass, написал в своем блоге, что обнаружил уязвимость еще в июне, но решил дождаться выхода исправления в следующей версии мобильной ОС.

Уязвимость существует из-за ошибки при обработке имен файлов, содержащихся в метаданных ZIP-файла. Злоумышленник может изменить имя файла в метаданных, не меняя при этом имя файла, входящего в состав архива. Подобная брешь в структуре ZIP архива позволяет злоумышленнику успешно пройти процесс проверки подлинности файла, поскольку во время проверки приложение считывает информацию о файлах внутри архива из метаданных архива (длина имени файла и имя файла). При этом C-код, который распаковывает, устанавливает и выполняет файлы из архива использует длину файла из локального заголовка.

Таким образом, атакующий может заразить любое проверенное приложение, после чего модифицировать заголовок, и выполнить произвольный код на уязвимой системе.

Эта брешь была устранена в последней версии Android 4.4 Kitkat, и теперь Java-апплет осуществляет проверку файлов, основываясь на тех же данных, что и архиватор.

SecurityLab рекомендует своим читателям установить последнюю версию Android 4.4.


или введите имя

CAPTCHA
passerby
07-11-2013 13:01:47
>рекомендует своим читателям установить последнюю версию Android 4.4 Это вообще пять! Учитывая то, что производители забивают на обновления своих устройств, обновится мизерная часть всего зоопарка андроид.
0 |
Vasilesk
09-11-2013 12:03:09
Ставьте неофициальную) Хотя и они пока что не появились
0 |
темный
08-11-2013 05:42:57
Какой произв-ль обновляет?
0 |
Gryem
08-11-2013 12:40:20
HTC One версия 4.3 lol
0 |