Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

WebViewCodeExecution

CVE-2012-6636

WebViewCodeExecution (CVE-2012-6636) — это уязвимость в компоненте WebView мобильной операционной системы Google Android, позволяющая злоумышленникам выполнять на атакуемом устройстве произвольные сценарии на языке JavaScript. С использованием таких сценариев, в свою очередь, возможен вызов произвольных функций Java. При помощи указанной уязвимости злоумышленники могут получить несанкционированный доступ к хранящимся на устройстве конфиденциальным данным пользователя, а также выполнять различные действия, например, отправлять СМС-сообщения. При этом выполняемый на атакуемом устройстве сценарий имеет те же привилегии, что и эксплуатирующее уязвимость приложение. Опасности подвержены все версии Google Android младше 4.2.

Ни один современный мобильный антивирус не в состоянии детектировать приложение, использующее уязвимость WebViewCodeExecution, поскольку такие приложения не содержат в себе вредоносного кода, — он, например, может быть загружен из Интернета в виде обычной веб-страницы. В целях обеспечения безопасности пользователям рекомендуется не запускать на устройствах, работающих под управлением уязвимых версий ОС Android, любые приложения, полученные из непроверенных источников, а также внимательно отслеживать списки разрешений, которые требуют для своей работы устанавливаемые программы.

Технические подробности

Компонент WebView используется различными приложениями Android (например, браузерами) для отображения на экране устройства веб-страниц. Разработчики прикладных программ могут задействовать этот компонент при помощи системного API. Если в параметрах использующего компонент WebView приложения установлен флаг, позволяющий выполнять сценарии JavaScript, такие сценарии могут вызывать различные функции Java.

Уязвимость заключается в том, что сценарий JavaScript, выполняющийся в контексте компонента WebView, может вызвать произвольный метод Java по его имени непосредственно из HTML-кода веб-страницы. Таким образом, в уязвимой системе можно выполнить произвольный код с привилегиями, которые имеет уязвимое приложение.

Читайте также описания других уязвимостей

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А