Avira для Windows 10 info@avirus.ru

В OS Android 5.0 Lollipop устранена уязвимость повышения привилегий

Брешь в системе безопасности, которая присутствует в версиях OS Android старше 5.0 и создает потенциальную угрозу атак для повышения привилегий, исправлена в новой версии операционной системы Android 5.0 Lollipop.

Эксплуатация уязвимости, обнаруженной Яном Хорном (Jann Horn), позволяет злоумышленнику обойти защиту ASLR (Рандомизация адресного пространства) и выполнить произвольный код на целевом устройстве.

Уязвимость существовала из-за того, что java.io.ObjectInputStream не проверял, является ли объект сериализируемым, перед его де-сериализацией. Злоумышленнику достаточно было создать экземпляр любого класса и заполнить поля его конструктора произвольными значениями. В итоге вредоносный объект был проигнорирован либо ему был присвоен неверный тип, что препятствовало использованию этого объекта в различных методах либо для чтения данных. Однако при срабатывании сборщика мусора вызывался метод finalize.

Выпущенное исправление предназначено только для Android Lollipop, более ранние версии операционной системы остаются уязвимыми.

Источник: www.securitylab.ru