Локальное повышение привилегий в Google Android

Дата публикации:
13.01.2016
Дата изменения:
13.01.2016
Всего просмотров:
1954
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C) = Base:7.2/Temporal:6
CVE ID:
CVE-2014-7911
Вектор эксплуатации:
Локальная
Воздействие:
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Google Android 1.6
Google Android 2.x
Android 3.x
Android 4.x
Уязвимые версии:
Google Android с 1.6 по 4.4.2

Описание:

Уязвимость позволяет локальному пользователю повысить привилегии.

Уязвимость существует из-за того, что luni/src/main/java/java/io/ObjectInputStream.java в имплементации java.io.ObjectInputStream в Google Android до 5.0.0 не проверяет соответствие объекта десериализации требованиям сериализации. Локальный пользователь может с помощью специально сформированного метода финализации для сериализованного объекта в ArrayMap Parcel, отправленного на system_service, повысить привилегии.


URL производителя: http://android.com

Решение: Установите исправление с сайта производителя.

Ссылки: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7911
Журнал изменений: 13.01.16: Изменена метрика CVSSv2.