Mobile Pwn2Own: Android版Chromeでリモートから任意のアプリをインストール可能な脆弱性 17
ストーリー by headless
縮小 部門より
縮小 部門より
Android版のChromeブラウザで、特別に細工したWebページから任意のアプリをインストールさせることが可能になる脆弱性が発見された(Dragos Ruiu氏のGoogle+記事、
The Registerの記事、
Softpediaの記事、
TNW Newsの記事)。
脆弱性の詳細は公表されていないが、V8 JavaScriptエンジンに存在するもので、Webページにアクセスさせるだけで特権を取得して任意のアプリをインストールできる。この脆弱性に他の脆弱性を組み合わせる必要はなく、アプリのインストールにユーザーの操作は一切必要ないとのこと。発見者はQihoo 360のGong Guang(龚广)氏。12日まで東京で開催されたPacSec 2015の会場でデモが行われた。デモに使われたのは新品のNexus 6 Project Fi Editionで、ソフトウェアの更新だけを実行した状態だったという。他の機種での再現も確認されているそうだ。
(続く...)
脆弱性の詳細は公表されていないが、V8 JavaScriptエンジンに存在するもので、Webページにアクセスさせるだけで特権を取得して任意のアプリをインストールできる。この脆弱性に他の脆弱性を組み合わせる必要はなく、アプリのインストールにユーザーの操作は一切必要ないとのこと。発見者はQihoo 360のGong Guang(龚广)氏。12日まで東京で開催されたPacSec 2015の会場でデモが行われた。デモに使われたのは新品のNexus 6 Project Fi Editionで、ソフトウェアの更新だけを実行した状態だったという。他の機種での再現も確認されているそうだ。
(続く...)