2015年9月14日
安卓序列化漏洞 —— CVE-2015-3525
摘要: 在2014年,Jann Horn发现一个安卓的提权漏洞,该漏洞允许恶意应用从普通应用权限提权到system用户执行命令,漏洞信息与POC见(1]。漏洞的成因源于在安卓系统(<5.0)中,java.io.ObjectInputStream并未校验输入的java对象是否是实际可序列化的。攻击者因此... 阅读全文
posted @ 2015-09-14 10:35 bamb00 阅读(1460) 评论(0) 推荐(0) 编辑