Android UXSS sérülékenység

CH azonosító

CH-12010

Angol cím

Android UXSS vulnerability

Felfedezés dátuma

2015.02.09.

Súlyosság

Magas

Érintett rendszerek

Android
Google

Érintett verziók

Android 4.3 és az előtti verziók.

Összefoglaló

Az Android 4.3 és az előtti verziók alapértelmezett böngészői UXSS-re sérülékeny WebView tartalommegjelenítőt használnak. (Rapid7 azonosító: R7-2015-02)

Leírás

A play.google.com domain X-Frame-Options teljes támogatásának hiányában rosszindulatú felhasználók Cross-Site-Scripting (XSS) vagy Universal-XSS (UXSS) sérülékenységet használhatnak ki. Ezzel elérhetik, hogy tetszőleges Play Store-beli Android alkalmazásokat (APK) telepítsenek és futtassanak.
A legnagyobb veszélyben a Google szolgáltatásaiba (Gmail, Youtube) bejelentkezett felhasználók vannak. A Google már megoldotta a problémát a legújabb Android verziókban (4.4, 5), azonban a 18 hónapnál régebbi verziók kijavítását nem tervezi.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Lehetőség szerint frissítsen Android 4.4-es vagy 5-ös verzióra.
A beépített böngészőt használó alkalmazások esetében állítson be egy külső böngészőt a hivatkozások megnyitására. (például Facebook app esetén: Settings [Always open links with external browser] On)
A kockázatok csökkentése érdekében használjon alternatív böngészőket, amelyekben nem található ilyen sebezhetőség (Google Chrome, Mozilla Firefox, Dolphin), vagy jelentkezzen ki a Google szolgáltatásokból a böngészés idejére.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »