首页 -> 安全研究

安全研究

安全漏洞
LG Android设备上多个Sprite软件本地权限提升漏洞

发布日期:2013-06-24
更新日期:2013-06-25

受影响系统:
spritesoftware Backup
spritesoftware spritebud
LG LG Optimus G
描述:
BUGTRAQ  ID: 60749
CVE(CAN) ID: CVE-2013-3685

"Backup"及"spritebud"是Sprite Software编写的应用备份/恢复系统,用在LG Android智能手机上。

spritebud 1.3.24、backup 2.5.4105在实现上存在本地权限提升漏洞,本地攻击者可利用此漏洞获取受影响设备的root权限。"spritebud" 后台程序是由 init 脚本启动并以root用户运行,监听在unix套接字上,接受"Backup"应用的指令。攻击者通过特制的备份,就可以写入任何文件、更改其权限和所有权。

<*来源:Justin Case
  
  链接:http://seclists.org/fulldisclosure/2013/Jun/196
        https://plus.google.com/110348415484169880343/posts/Me2yea2PgwE
        https://github.com/CunningLogic/LGPwn
*>

建议:
厂商补丁:

spritesoftware
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.spritesoftware.com/

浏览次数:3817
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障