Google Android até 4.4.4 Pendingintent Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Google Android até 4.4.4. O impacto ocorre em uma função desconhecida no componente Pendingintent. O tratamento leva a Elevação de Privilégios. Esta vulnerabilidade é referenciada como CVE-2014-8609. Adicionalmente, há um exploit disponível. Recomenda-se a atualização do componente afetado.
Detalhes
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Google Android até 4.4.4. O impacto ocorre em uma função desconhecida no componente Pendingintent. O tratamento leva a Elevação de Privilégios. Usar a CWE para declarar o problema leva à CWE-264. O problema foi divulgado 26/11/2014 por WangTao, WangYu and Zhang Donghui com Baidu X-Team como CVE-2014-8609 Android Settings application privilege leakage vulnerability / Android id 17356824 como Mailinglist Post (Full-Disclosure). O aviso pode ser baixado em seclists.org.
Esta vulnerabilidade é referenciada como CVE-2014-8609. A designação do CVE foi realizada em 04/11/2014. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projeto MITRE ATT&CK identifica a técnica de ataque como T1068. O aviso aponta:
In Android <5.0 (and maybe >= 4.0), Settings application leaks Pendingintent with a blank base intent (neither the component nor the action is explicitly set) to third party application, bad app can use this to broadcast intent with the same permissions and identity of the Settings application, which runs as SYSTEM uid. Thus bad app can broadcast sensitive intent with the permission of SYSTEM.
Está declarado como prova de conceito. O exploit está compartilhado para download em packetstormsecurity.com. A vulnerabilidade foi considerada um exploit zero-day privado por pelo menos 85 dias. Como 0-day, o valor estimado no submundo era aproximadamente $25k-$100k.
Atualizar para a versão 5.0 pode resolver este problema. Recomenda-se a atualização do componente afetado.
A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 71314), X-Force (99028) e Vulnerability Center (SBV-47642).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.google.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.3VulDB Meta Pontuação Temporária: 6.3
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 6.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Físico: Parcial
Local: Sim
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo 0-dia: 🔍
Atualização: Android 5.0
Linha do tempo
02/09/2014 🔍03/09/2014 🔍
10/09/2014 🔍
04/11/2014 🔍
26/11/2014 🔍
26/11/2014 🔍
26/11/2014 🔍
02/12/2014 🔍
15/12/2014 🔍
16/12/2014 🔍
03/07/2024 🔍
Fontes
Fabricante: google.comAconselhamento: CVE-2014-8609 Android Settings application privilege leakage vulnerability / Android id 17356824
Pessoa: WangTao, WangYu, Zhang Donghui
Empresa: Baidu X-Team
Estado: Não definido
Confirmação: 🔍
CVE: CVE-2014-8609 (🔍)
GCVE (CVE): GCVE-0-2014-8609
GCVE (VulDB): GCVE-100-68301
X-Force: 99028 - Google Android Pendingintent privilege escalation, High Risk
SecurityFocus: 71314 - Android Settings application CVE-2014-8609 Privilage Escalation Vulnerability
Vulnerability Center: 47642 - Google Android <5.0.0 'addAccount\x27 Multiple Remote Privilege Escalation Vulnerability, High
scip Labs: https://www.scip.ch/en/?labs.20150917
Vários: 🔍
Veja também: 🔍
Entrada
Criado: 02/12/2014 09h42Atualizado: 03/07/2024 05h53
Ajustamentos: 02/12/2014 09h42 (75), 15/06/2017 11h34 (1), 27/02/2022 10h52 (3), 03/07/2024 05h53 (23)
Completo: 🔍
Cache ID: 216:A5C:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.