正文

Google Android API WebView组件任意代码执行漏洞

admin
admin V管理员 /0 评论 /18 阅读
0410
此篇文章发布距今已超过1177天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2012-6636

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2014-03-03
漏洞描述
Android是基于Linux开放性内核的操作系统,是Google公司在2007年11月5日公布的手机操作系统。
Android API 17.0之前版本,没有正确限制WebView.addJavascriptInterface方法,远程攻击者通过构造的 JavaScript 代码内的Java Reflection API,利用此漏洞可执行任意JS方法。
受影响系统: Google Android < 17.0
解决建议
目前没有详细解决方案提供:
http://www.internetsociety.org/ndss2014/programme#session3
参考链接
http://50.56.33.56/blog/?p=314
http://developer.android.com/reference/android/os/Build.VERSION_CODES.html#JE...
http://developer.android.com/reference/android/webkit/WebView.html#addJavascr...
http://jvn.jp/en/jp/JVN62161191/index.html
http://openwall.com/lists/oss-security/2014/02/07/9
http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf
http://www.internetsociety.org/ndss2014/programme#session3
https://support.lenovo.com/us/en/product_security/len_6421
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 google android_api * Up to
(including)
16.0
运行在以下环境
应用 google android_api 1.0 -
运行在以下环境
应用 google android_api 10.0 -
运行在以下环境
应用 google android_api 11.0 -
运行在以下环境
应用 google android_api 12.0 -
运行在以下环境
应用 google android_api 13.0 -
运行在以下环境
应用 google android_api 14.0 -
运行在以下环境
应用 google android_api 15.0 -
运行在以下环境
应用 google android_api 2.0 -
运行在以下环境
应用 google android_api 3.0 -
运行在以下环境
应用 google android_api 4.0 -
运行在以下环境
应用 google android_api 5.0 -
运行在以下环境
应用 google android_api 6.0 -
运行在以下环境
应用 google android_api 7.0 -
运行在以下环境
应用 google android_api 8.0 -
运行在以下环境
应用 google android_api 9.0 -
阿里云评分 7.1
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 全局影响
  • EXP成熟度 EXP 已公开
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制