漏洞起因
输入验证错误
影响系统
Open Handset Alliance Android 1.5 CRB-42
不受影响系统
Open Handset Alliance Android 1.5 CRB-43
危害
本地攻击者可以利用漏洞提升特权。
攻击所需条件
攻击者必须访问Android平台。
漏洞信息
Open Handset Alliance Android是一款超过30家科技与移动电话公司所组成的团体开发的免费的移动电话平台。
当安装包请求共享用户ID(UID)权限时Android不正确检查开发者证书,本地攻击者可以利用漏洞提升特权。
一般情况下,如果安装包签署了相同的开发者证书并在安装时间请求权限,Android应用程序允许共享一个UID,这允许来自相同作者的安装包共享数据。存在漏洞允许任意以此行为安装的应用程序获得对其他(已存在)应用程序数据的访问。
测试方法
厂商解决方案
可参考如下补丁程序:
http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=5d6d773fab559fdc12e553d60d789f3991ac552c
漏洞提供者
Panasonic
Copyright © Since 2009 ZeroBox Vulnerability DatabaseAll rights reserved | 冀ICP备09018685号 | | 
Powered by WordPress | Theme zBench | 服务器支持:安信网络