VDB-11105 · BID 63547 · OSVDB 99493

Google Android 4.3.1 Package Signature Verification ZipFile.java getInputStream Autenticação fraca

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
5.7$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade classificada como crítico foi encontrada em Google Android 4.3.1. Afetado é a função getInputStream do arquivo main/java/java/util/zip/ZipFile.java do componente Package Signature Verification Handler. O tratamento leva a Autenticação fraca. Além disso, existe um exploit disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade classificada como crítico foi encontrada em Google Android 4.3.1. Afetado é a função getInputStream do arquivo main/java/java/util/zip/ZipFile.java do componente Package Signature Verification Handler. O tratamento leva a Autenticação fraca. Usar CWE para declarar o problema leva a CWE-287. O problema foi divulgado 23/07/2013 por Saurik como Yet Another Android Master Key Bug como Blog Post (Site). O comunicado está disponível para download em saurik.com. O lançamento público foi coordenado com o fornecedor. A publicação apresenta:

What makes this bug exceptionally hilarious is the large comment sitting above it carefully pointing out that the length of the extra data might differ from the value stored in the central directory.

Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está acima da média. Além disso, existe um exploit disponível. O exploit foi divulgado ao público e pode ser utilizado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O comunicado destaca:

The bug that underlies this exploit is very similar to the one I analyzed in my previous article, bug #9695860. Specifically, this will look very similar to the original technique for that bug by Android Security Squad, with a few aspects of the first improvement I descibed in the section "Extreme Offset".

Está declarado como prova de conceito. O exploit está disponível para download em saurik.com. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k. A recomendação aponta:

As some people have been describing these local file header exploits as complex to pull off (Android Police had said in an article that bug #9695860 "is more precise and relies on a fairly complete knowledge about the structure of the files"), I am going to provide a proof of concept for this exploit in Python.

A actualização para a versão 4.4 é capaz de abordar esta questão. A nova versão pode ser baixada em android.googlesource.com. Recomenda-se a actualização do componente afectado. O aviso inclui o seguinte comentário:

Clearly, it would be ideal to also disclose bugs earlier, but frankly: Google has known about this bug since July… (…) The fix for this issue is very similar to the fix I published for bug #9695860, so the code for this extension will look very similar; the only new code is a few lines that check that the name length from the local header matches the one from the central directory. You can see the patch to Backport for reference. (…) For users hoping for an end-to-end implementation to this bug, I have released an updated build of Cydia Impactor that will autodetect its usability and use it as a system exploit when available (it actually checks this bug first, as it is more likely to be present than either of the other two bugs).

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 63547).

Produtoinformação

Tipo

Fabricante

Nome

Versão

Licença

Site

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.3
VulDB Meta Pontuação Temporária: 5.7

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 5.7
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Autenticação fraca
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Saurik
Fiabilidade: 🔍
Linguagem de programação: 🔍
Descarregar: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Tempo de atraso de exploração: 🔍

Atualização: Android 4.4

Linha do tempoinformação

23/07/2013 🔍
23/07/2013 +0 dias 🔍
23/07/2013 +0 dias 🔍
04/11/2013 +104 dias 🔍
13/11/2013 +9 dias 🔍
23/03/2019 +1956 dias 🔍

Fontesinformação

Fabricante: google.com

Aconselhamento: Yet Another Android Master Key Bug
Pessoa: Saurik
Estado: Confirmado
Coordenado: 🔍

GCVE (VulDB): GCVE-100-11105
SecurityFocus: 63547 - Google Android Signature Verification Security Bypass Vulnerability
OSVDB: 99493

scip Labs: https://www.scip.ch/en/?labs.20150917
Vários: 🔍

Entradainformação

Criado: 13/11/2013 12h26
Atualizado: 23/03/2019 08h55
Ajustamentos: 13/11/2013 12h26 (64), 23/03/2019 08h55 (6)
Completo: 🔍
Cache ID: 216:566:103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!