Android系统WebView控件任意命令执行漏洞(CNVD-2013-12829)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2013-09-06漏洞描述
Google Android是一种以Linux为基础的开放源代码操作系统,主要使用于便携设备。android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。其中webView下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java和js的交互。利用addJavascriptInterface这个接口函数可实现穿透webkit控制android 本机。攻击者可以构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意命令。目前如下应用证实受此漏洞影响:百度QQ浏览器手机迅雷最新版腾讯微博手机客户端QQ安卓微信android客户端百度浏览器金山猎豹浏览器欧鹏浏览器天天浏览器海豚手机浏览器快播安卓客户端解决建议
目前没有详细解决方案提供:http://www.openhandsetalliance.com/android_overview.html
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2013-12829 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 部分地
- 保密性 部分地
- 完整性 部分地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论