Не успели пользователи получить исправления от уязвимости в Stagefright [ https://bugtraq.ru/rsn/archive/2015/07/01.html ], как обнаружилась еще одна, затрагивающая все версии, начиная с 4.3. На этот раз проблема в эскалации привилегий из-за ошибки в классе OpenSSLX509Certificate - произвольное приложение может обойти установленные права доступа и выполнить произвольный код с повышенными правами, получить доступ к пользовательским данным, установить еще что-нибудь и т.п.
Конечно, и так-то мало кто следит за тем, куда хотят залезть устанавливаемые из Market приложения, но эта уязвимость позволит обмануть бдительность даже осторожных пользователей. Интересно, насколько усугубит ситуацию сочетание со Stagefright.
Как и в прошлом случае, патч уже готов, но большинство потенциальных жертв его вряд ли получит.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
