LG Android设备上多个Sprite软件本地权限提升漏洞
LG Android设备上多个Sprite软件本地权限提升漏洞
发布日期:2013-06-24
更新日期:2013-06-25
受影响系统:
spritesoftware Backup
spritesoftware spritebud
LG LG Optimus G
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 60749
CVE(CAN) ID: CVE-2013-3685
"Backup"及"spritebud"是Sprite Software编写的应用备份/恢复系统,用在LG Android智能手机上。
spritebud 1.3.24、backup 2.5.4105在实现上存在本地权限提升漏洞,本地攻击者可利用此漏洞获取受影响设备的root权限。"spritebud" 后台程序是由 init 脚本启动并以root用户运行,监听在unix套接字上,接受"Backup"应用的指令。攻击者通过特制的备份,就可以写入任何文件、更改其权限和所有权。
<*来源:Justin Case
链接:http://seclists.org/fulldisclosure/2013/Jun/196
https://plus.google.com/110348415484169880343/posts/Me2yea2PgwE
https://github.com/CunningLogic/LGPwn
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
spritesoftware
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.spritesoftware.com/
评论暂时关闭