Google исправила две критических бреши в Android


GoogleКомпания Google исправила две критических бреши в Android, выпустив обновление Android 5.1 Lollipop. Эксплуатация закрываемых уязвимостей могла позволить злоумышленнику повысить свои привилегии.

Так, брешь:

  • (CVE-2015-1474) – целочисленное переполнение, приводящее к повреждению динамической памяти. Данная уязвимость позволяет атакующему повысить привилегии или осуществить сбой в работе целевой системы.
  • (CVE-2015-1530) - брешь, которая также может быть проэксплуатирована для повышения привилегий и выполнения отказа в работе целевой системы. Уязвимость вызвана целочисленным переполнением в медиа пакете Android.


Проще говоря, при установке какого-либо приложения на Android существует ряд ограничений, однако данные бреши позволяют программе получить больше разрешений, чем это предусмотрено системой. Вредоносные приложения могут эксплуатировать уязвимости с целью незаметного выполнения различных задач, в том числе для загрузки фотографии пользователя на удаленный сервер, совершения звонков и отправки сообщений.

Напомним, что о брешах Google была проинформирована еще в октябре и ноябре 2014 года. В случае с CVE-2015-1474 интернет-гиганту пришлось выпустить два исправления безопасности, поскольку первое из них оказалось неполным.


Обновлено (13.03.2015 23:13)