Android UXSS sérülékenység

CH azonosító

CH-12010

Angol cím

Android UXSS vulnerability

Felfedezés dátuma

2015.02.09.

Súlyosság

Magas

Érintett rendszerek

Android
Google

Érintett verziók

Android 4.3 és az előtti verziók.

Összefoglaló

Az Android 4.3 és az előtti verziók alapértelmezett böngészői UXSS-re sérülékeny WebView tartalommegjelenítőt használnak. (Rapid7 azonosító: R7-2015-02)

Leírás

A play.google.com domain X-Frame-Options teljes támogatásának hiányában rosszindulatú felhasználók Cross-Site-Scripting (XSS) vagy Universal-XSS (UXSS) sérülékenységet használhatnak ki. Ezzel elérhetik, hogy tetszőleges Play Store-beli Android alkalmazásokat (APK) telepítsenek és futtassanak.
A legnagyobb veszélyben a Google szolgáltatásaiba (Gmail, Youtube) bejelentkezett felhasználók vannak. A Google már megoldotta a problémát a legújabb Android verziókban (4.4, 5), azonban a 18 hónapnál régebbi verziók kijavítását nem tervezi.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Lehetőség szerint frissítsen Android 4.4-es vagy 5-ös verzióra.
A beépített böngészőt használó alkalmazások esetében állítson be egy külső böngészőt a hivatkozások megnyitására. (például Facebook app esetén: Settings [Always open links with external browser] On)
A kockázatok csökkentése érdekében használjon alternatív böngészőket, amelyekben nem található ilyen sebezhetőség (Google Chrome, Mozilla Firefox, Dolphin), vagy jelentkezzen ki a Google szolgáltatásokból a böngészés idejére.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »