CH azonosító
CH-12773Angol cím
Zero-day vulnerability in Chrome's JavaScript v8 engineFelfedezés dátuma
2015.11.11.Súlyosság
MagasÉrintett rendszerek
Chrome for AndroidÉrintett verziók
Minden modern, frissített Android készülék
Összefoglaló
A Chrome JavaScript motorjának sérülékenységét demonstrálták, amelyet kihasználva bármely Android-ot futtató készülék kompromittálható.
Leírás
A tokiói PacSec alkalmazott biztonsági konferencián mutattak be egy exploit-ot, amely a Chrome for Android JavaScript v8 motorjának zero-day sérülékenységét kihasználva tetszőleges alkalmazást telepít az Androidot futtató eszközre.
Az exploit érdekessége, hogy egyetlen sérülékenység kihasználásával szerez kiterjesztett jogosultságot és telepít alkalmazást interakció nélkül.
A demonstrációhoz elég volt pusztán a kártékony weboldalt elérni, a sérülékenységen keresztül a demonstrációhoz használt alkalmazás a felhasználó beavatkozása nélkül feltelepült a készülékre.
Az exploit részleteit nem fedték fel.
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: m.theregister.co.uk