安全研究員公布了兩個android本地提權漏洞
責編:admin |2015-02-02 12:17:49近日,有安全研究員公布了兩個android本地提權:CNNVD-201411-420和CNNVD-201412-497漏洞。
Google Android本地權限提升漏洞(CNNVD-201411-420),Android是基于Linux開放性內核的操作系統,是Google公司在2007年11月5日公布的手機操作系統。Android 5.0之前版本java.io.ObjectInputStream沒有檢查要反序列化的對象是否真的可以序列化,攻擊者利用此漏洞通過惡意對象可在system_server進程中執行任意代碼并獲取提升的權限。
QSEECOM驅動程序內存破壞漏洞(CNNVD-201412-497),QSEECOM驅動程序提供了ioctl系統調用接口,用于用戶空間客戶端的通訊。在linux內核3.x內核的QSEECOM driver的drivers/misc/qseecom.c,同時使用在MSM設備的Qualcomm Innovation Center (QuIC) Android和其他一些產品。沒有驗證ioctl調用中的某些偏移、長度、基值,攻擊者通過構造的應用,利用此漏洞可獲取提升的權限或造成拒絕服務。