Локальное повышение привилегий в Google Android
| Дата публикации: | 13.01.2016 |
| Всего просмотров: | 3173 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C) |
| CVE ID: | CVE-2014-7911 |
| Вектор эксплуатации: | Локальная |
| Воздействие: | Повышение привилегий |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Google Android 1.6
Google Android 2.x Android 3.x Android 4.x |
| Уязвимые версии: | Google Android с 1.6 по 4.4.2 |
| Описание: | Уязвимость позволяет локальному пользователю повысить привилегии. Уязвимость существует из-за того, что luni/src/main/java/java/io/ObjectInputStream.java в имплементации java.io.ObjectInputStream в Google Android до 5.0.0 не проверяет соответствие объекта десериализации требованиям сериализации. Локальный пользователь может с помощью специально сформированного метода финализации для сериализованного объекта в ArrayMap Parcel, отправленного на system_service, повысить привилегии. |
| Решение: | Установите исправление с сайта производителя. |
| Ссылки: | https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7911 |
| Журнал изменений: | a:2:{s:4:"TEXT";s:34:"13.01.16: Изменена метрика CVSSv2.";s:4:"TYPE";s:4:"html";} |