安全研究人员公布两个安卓本地提权漏洞POC

  • A+
所属分类:移动安全

t01b1179457d520592c.jpg

XDA上面放出了索尼手机的root提权工具

而360的安全研究员retme也随即放出了一份利用这两个漏洞的提权代码  地址是:https://github.com/retme7/CVE-2014-7911_poc    和    https://github.com/retme7/CVE-2014-4322_poc

(CVE-2014-7911)Google Android本地权限提升漏洞

发布日期:2014-11-19

受影响系统:

Google Android < 5.0

BUGTRAQ  ID: 71176

Android是基于Linux开放性内核的操作系统,是Google公司在2007年11月5日公布的手机操作系统。

Android 5.0之前版本java.io.ObjectInputStream没有检查要反序列化的对象是否真的可以序列化,攻击者利用此漏洞通过恶意对象可在system_server进程中执行任意代码并获取提升的权限。

(CVE-2014-4322)QSEECOM驱动程序内存破坏漏洞

发布日期:2014-12-22

受影响系统:Qualcomm qseecom driver

QSEECOM驱动程序提供了ioctl系统调用接口,用于用户空间客户端的通讯。

在linux内核3.x内核的QSEECOM driver的drivers/misc/qseecom.c,同时使用在MSM设备的Qualcomm Innovation Center (QuIC) Android和其他一些产品。没有验证ioctl调用中的某些偏移、长度、基值,攻击者通过构造的应用,利用此漏洞可获取提升的权限或造成拒绝服务。

 链接:https://www.codeaurora.org/projects/security-advisories/memory-corruption-qseecom-driver-cve-2014-4322

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin