В OS Android 5.0 Lollipop устранена уязвимость повышения привилегий

image

Теги: Android 5.0 Lollipop, уязвимость, повышение привилегий

Исправление уязвимости не распространяется на более ранние версии OS Android.

Брешь в системе безопасности, которая присутствует в версиях OS Android старше 5.0 и создает потенциальную угрозу атак для повышения привилегий, исправлена в новой версии операционной системы Android 5.0 Lollipop.

Эксплуатация уязвимости, обнаруженной Яном Хорном (Jann Horn), позволяет злоумышленнику обойти защиту ASLR (Рандомизация адресного пространства) и выполнить произвольный код на целевом устройстве.

Уязвимость существовала из-за того, что java.io.ObjectInputStream не проверял, является ли объект сериализируемым, перед его де-сериализацией. Злоумышленнику достаточно было создать экземпляр любого класса и заполнить поля его конструктора произвольными значениями. В итоге вредоносный объект был проигнорирован либо ему был присвоен неверный тип, что препятствовало использованию этого объекта в различных методах либо для чтения данных. Однако при срабатывании сборщика мусора вызывался метод finalize.

Выпущенное исправление предназначено только для Android Lollipop, более ранние версии операционной системы остаются уязвимыми.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.