ГлавнаяБаза уязвимостей БДУ → BDU:2024-04679
7.2высокая

BDU:2024-04679

Уязвимость функции createSessionInternal модуля PackageInstallerService.java операционной системы Android, позволяющая нарушителю получить доступ к базе данных произвольного приложения
Опубликовано: 2024-06-19
Описание

Уязвимость функции createSessionInternal модуля PackageInstallerService.java операционной системы Android связана с отсутствием экранирования специальных символов в имени пакета установщика при записи в /data/system/packages.list. Эксплуатация уязвимости может позволить нарушителю получить доступ к базе данных произвольного приложения с помощью специально сформированного мобильного приложения, имеющего доступ к инструменту Android Debug Bridge.

Затрагиваемое ПО и версии
Android (12)Android (12L)Android (13)Android (14)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- установка мобильных приложений из доверенных источников;
- отключение на устройстве возможности отладки по USB;
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
https://source.android.com/docs/security/bulletin/2024-03-01?hl=ru

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/pl4int3xt/cve_2024_0044https://source.android.com/docs/security/bulletin/2024-03-01?hl=ru
Проверьте безопасность своего сайта и почты → Полная проверка домена