安全研究員公布了兩個(gè)android本地提權(quán)漏洞
責(zé)編:admin |2015-02-02 12:17:49近日,有安全研究員公布了兩個(gè)android本地提權(quán):CNNVD-201411-420和CNNVD-201412-497漏洞。
Google Android本地權(quán)限提升漏洞(CNNVD-201411-420),Android是基于Linux開(kāi)放性?xún)?nèi)核的操作系統(tǒng),是Google公司在2007年11月5日公布的手機(jī)操作系統(tǒng)。Android 5.0之前版本java.io.ObjectInputStream沒(méi)有檢查要反序列化的對(duì)象是否真的可以序列化,攻擊者利用此漏洞通過(guò)惡意對(duì)象可在system_server進(jìn)程中執(zhí)行任意代碼并獲取提升的權(quán)限。
QSEECOM驅(qū)動(dòng)程序內(nèi)存破壞漏洞(CNNVD-201412-497),QSEECOM驅(qū)動(dòng)程序提供了ioctl系統(tǒng)調(diào)用接口,用于用戶(hù)空間客戶(hù)端的通訊。在linux內(nèi)核3.x內(nèi)核的QSEECOM driver的drivers/misc/qseecom.c,同時(shí)使用在MSM設(shè)備的Qualcomm Innovation Center (QuIC) Android和其他一些產(chǎn)品。沒(méi)有驗(yàn)證ioctl調(diào)用中的某些偏移、長(zhǎng)度、基值,攻擊者通過(guò)構(gòu)造的應(yīng)用,利用此漏洞可獲取提升的權(quán)限或造成拒絕服務(wù)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧