The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел CyanogenMod 10.1.1 с исправлением уязвимости, позволяющей обходить проверку по цифровой подписи

12.07.2013 11:01

Представлен корректирующий выпуск CyanogenMod 10.1.1, развиваемой независимым сообществом альтернативной сборки платформы Android. Новая версия примечательная устранением уязвимости, позволяющей вносить изменения в APK-пакеты без нарушения цифровой подписи. В новой версии CyanogenMod также устранена уязвимость CVE-2013-2094 в ядре Linux и две уязвимости (CVE-2013-2596, CVE-2013-2597) специфичные для платформы Qualcomm.

Изначально детали уязвимости, позволяющей обходить проверку APK-пакетов, планировалось раскрыть 27 июля, но после публикации анонса разработчики CyanogenMod смогли докопаться до сути проблемы. Проблема вызвана особенностью распаковки архивов - атакующий может создать APK-пакет с дублирующимися файлами, т.е. пакет будет содержать все изначальные данные для которых сработает проверка по контрольной сумме и одновременно изменённые файлы, которые не будут затронуты при проверке, но будут распакованы при установке и использованы вместо изначальных файлов пакета.

Компания Bluebox, изначально обнаружившая наличие уязвимости, опубликовала специальное приложение для проверки наличия проблемы, а также для сканирования APK-пакетов на предмет попыток эксплуатации уязвимости. Компания Google представила исправление для OEM-производителей, которые на его основе подготовят обновление прошивки. Из производителей уже выпустивших обновления отмечается компания Samsung (исправление доступно для модели Galaxy S4).

  1. Главная ссылка к новости (http://www.cyanogenmod.org/blo...)
  2. OpenNews: Уязвимость, позволяющая внести изменения в Android-пакеты без нарушения цифровой подписи
  3. OpenNews: Выход CyanogenMod 10.1.0, независимой сборки мобильной платформы Android
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37409-cyanogenmod
Ключевые слова: cyanogenmod, android
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:33, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Оперативненько.
     
  • 1.2, Perlovka (ok), 11:45, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Уже 10.1.2 вышел =)
     
     
  • 2.3, Andrew Kolchoogin (ok), 11:55, 12/07/2013 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Куда вышел?-)
     
     
  • 3.5, Perlovka (ok), 11:56, 12/07/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    В массы =)
     
  • 3.14, AKR (ok), 16:09, 12/07/2013 [^] [^^] [^^^] [ответить]  
    		• +15 +/
    Вышел из того города, где заяц бежал, на который тень от орла упала, и пошёл куда глаза глядят.
     
     
  • 4.23, Аноним (-), 11:48, 13/07/2013 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    хороший мультфильм))
     
  • 4.27, Andrew Kolchoogin (ok), 11:00, 15/07/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > и пошёл куда глаза глядят.

    Чьи глаза?!

    :)

     
     
  • 5.28, AKR (ok), 17:11, 15/07/2013 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Глаза того тулупа, который из шкуры зайца вышел, в городе где ночь настаёт, когда над ним птенец пролетает верхом на хромой блохе.
     
     
  • 6.29, Аноним (-), 10:51, 18/07/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Санитаааары!
     
  • 6.30, Аноним (-), 08:33, 20/07/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    ай молодца! :)
     

  • 1.4, ананим (?), 11:56, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    >разработчики CyanogenMod смогли докопаться до сути проблемы. Проблема вызвана особенностью распаковки архивов

    во будет новость, если это совершенно другой баг.

     
  • 1.7, Аноним (-), 13:21, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > исправление доступно для модели Galaxy S4

    Galaxy S3 уже устарел :)

     
  • 1.18, Аноним (-), 17:29, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Обалденно красивая уязвимость.
     
     
  • 2.19, ананим (?), 19:25, 12/07/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Угу.
    Настолько, что аш на бэкдор похожа.
     
     
  • 3.24, Аноним (-), 20:53, 13/07/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > Угу.
    > Настолько, что аш на бэкдор похожа.

    Кругом враги (С) ????

     
     
  • 4.25, JOO (?), 20:32, 14/07/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Враги не крУгом ?
     

  • 1.20, Аноним (-), 20:04, 12/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    http://wiki.cyanogenmod.org/w/Tf700t_Info  Asus Transformer Pad Infinity ("tf700t")
    Интересно, стоит поставить? Какой будет профит? (шустрее работать может станет?) Или это только для гиков? :)
     
     
  • 2.22, Andrey Mitrofanov (?), 09:10, 13/07/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > http://wiki.cyanogenmod.org/w/Tf700t_Info  Asus Transformer Pad Infinity ("tf700t")
    > Интересно, стоит поставить?

    Зависит от стоимости твоего времени.

    >Какой будет профит? (шустрее работать может станет?) Или это только для гиков? :)

    Профит, ты правильно сказал, _будет_ -- в афтер-маркет прошивке с поддержкой, наверное, и, если повезёт чуть-чуть, сторонними сборками 1-2-3 или даже более самодельщиков.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру