Vigil@nce - Android : élévation de privilèges via Serialization
octobre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local, ou une application illicite, peut utiliser la
Serialization sur Android OS, afin d’élever ses privilèges.
Produits concernés : Android Applications non exhaustif, ArcGIS
for Desktop, Android OS, Unix (plateforme) non exhaustif.
Gravité : 2/4.
Date création : 12/08/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Une classe Java peut :
– être sérialisable, et
– contenir la méthode finalize(), et
– contenir un attribut modifiable par l’utilisateur.
Cependant, dans ce cas, un attaquant peut modifier l’attribut, et
ainsi injecter du code qui exécuté durant la méthode finalize()
par le ramasse miette de Android.
Il existe plusieurs classes Java possédant les trois
caractéristiques nécessaires :
– la classe OpenSSLX509Certificate de Android OS (CVE-2015-3825)
– les classes du SDK Jumio (CVE-2015-2000), utilisées par les
applications construites avec ce SDK
– les classes du SDK MetaIO (CVE-2015-2001), utilisées par les
applications construites avec ce SDK
– les classes du SDK PJSIP PJSUA2 (CVE-2015-2003), utilisées par
les applications construites avec ce SDK
– les classes du SDK GraceNote GNSDK (CVE-2015-2004), utilisées
par les applications construites avec ce SDK
– les classes du SDK MyScript (CVE-2015-2020), utilisées par les
applications construites avec ce SDK
– les classes du SDK esri ArcGis (CVE-2015-2002), utilisées par
les applications construites avec ce SDK
Un attaquant local, ou une application illicite, peut donc
utiliser la sérialisation sur Android OS, afin d’élever ses
privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Android-elevation-de-privileges-via-Serialization-17645