В Android 5.1 исправлены бреши, позволяющие повысить привилегии

С выходом обновленной версии Android 5.1 Lollipop компания Google исправила две критических бреши, эксплуатация которых позволяла повысить привилегии.

Уязвимости, затрагивающие версии Android ниже 5.1, обнаружил исследователь безопасности китайской ИБ-компании Qihoo 360 Гуанг Гонг.

Одна из брешей ( CVE-2015-1474 ) – целочисленное переполнение, которое  приводит  к повреждению динамической памяти. Данная уязвимость позволяет атакующему повысить привилегии или осуществить сбой в работе целевой системы.

Вторая брешь ( CVE-2015-1530 ) также может быть  проэксплуатирована  для повышения привилегий и выполнения отказа в работе целевой системы. Уязвимость вызвана целочисленным переполнением в медиа пакете Android.

Как сообщил Гонг в письме изданию SecurityWeek, проще говоря, эти две уязвимости могут быть проэксплуатированы для повышения привилегий. При установке какого-либо приложения на Android существует ряд ограничений, однако даные бреши позволяют программе получить больше разрешений, чем это предусмотрено системой. Вредоносные приложения могут эксплуатировать уязвимости для незаметного выполнения различных задач, в том числе загружать фотографии пользователя на удаленный сервер, совершать звонки и отправлять сообщения.

О брешах Google была проинформирована в октябре и ноябре прошлого года. В случае с CVE-2015-1474 интернет-гиганту пришлось выпустить два исправления безопасности, поскольку первое из них оказалось неполным.