Неавторизованное изменение данных в Android

Дата публикации:
25.03.2015
Дата изменения:
25.03.2015
Всего просмотров:
1483
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.6/Temporal:1.9
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Android 4.x
Уязвимые версии:
Android 4.1 и более ранние версии
Android 4.3 и более ранние версии (некоторые устройства)

Описание:

Уязвимость позволяет удаленному пользователю неавторизованно изменить данные.

Уязвимость существует из-за ошибки времени проверки ко времени использования в компоненте PackageInstaller. Удаленный пользователь может неавторизованно изменить содержимое устанавливаемого APK-файла, полученного с легитимного стороннего магазина приложений или из других источников.

Примечание: Успешная эксплуатация уязвимости требует, чтобы на устройстве пользователя было установлено определенное легитимное приложение с Play Store.


URL производителя: http://android.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/